SİBER GÜVENLİK

Mavi Takım dijtal güvenlik araç seti: Kurumsal savunmaları değerlendirmek ve geliştirmek için 6 açık kaynaklı araç

David González Cuautle
David González Cuautle
5 Mart 2024

İşte mavi takımın kırmızı takımı savuşturmak ve kabuğundaki çatlaklarını tespit etmek için kullanabileceği birkaç açık kaynak dijital güvenlik araç seti

Hiç Halo ya da Gears of War oyunları oynadınız mı? Eğer oynadıysanız, bayrağı çalmaya çalışan ve korumakla görevli iki takımı karşı karşıya getiren Bayrağı Bayrağı Yakala oyun modunu mutlaka fark etmişsinizdir.

Bu tür bir tatbikat, kuruluşlar tarafından bir siber saldırıyı tespit etme, yanıtlama ve hafifletme becerilerini ölçmek için de kullanılır. Aslında bu simülasyonlar, saldırganlar bunlardan faydalanmadan önce kuruluşların sistemlerinde, çalışanlarında ve süreçlerindeki zayıflıkları tespit etmek için kilit öneme sahiptir. Gerçekçi siber tehditleri taklit eden bu tatbikatlar, güvenlik uygulayıcılarının olay müdahale prosedürlerini ince ayarlamalarına ve gelişen güvenlik sorunlarına karşı savunmalarını güçlendirmelerine de olanak tanır.

Bu makalede, iki takımın nasıl mücadele ettiğine ve savunma tarafında hangi açık kaynaklı araçları kullanabileceğine genel hatlarıyla bakacağız. Öncelikle iki takımın rolleri hakkında çok hızlı bir hatırlatma:

  • Kırmızı takım saldırgan rolünü oynar ve gerçek dünyadaki tehdit aktörlerinin taktiklerini kullanır. Bu düşmanca simülasyon, güvenlik açıklarını belirleyip kullanarak, kurumun savunmasını aşarak ve sistemlerini tehlikeye atarak kurumlara siber zırhlarındaki çatlaklar hakkında paha biçilmez bilgiler sağlar.
  • Bu arada mavi takım, rakibin saldırılarını tespit etmeyi ve engellemeyi amaçladığı için savunma rolünü üstlenir. Bu, diğer şeylerin yanı sıra, çeşitli siber güvenlik araçlarının konuşlandırılmasını, herhangi bir anormallik veya şüpheli model için ağ trafiğini takip etmeyi, farklı sistemler ve uygulamalar tarafından oluşturulan günlükleri incelemeyi, bireysel uç noktalardan veri izlemeyi, toplamayı ve yetkisiz erişim veya şüpheli davranış belirtilerine hızlı bir şekilde yanıt vermeyi içerir.

Bu tatbikat boyunca toplanan zengin bilgi, kuruluşlara güvenlik duruşlarına ilişkin bütüncül bir bakış açısı sağlar ve güvenlik protokollerinin etkinliğini ve siber savunmalarının hazır olup olmadığını değerlendirmelerine olanak tanır.

Bir dipnot olarak, işbirlikçi bir yaklaşıma dayanan ve hem saldırı hem de savunma faaliyetlerini bir araya getiren mor bir ekip de vardır. Saldırı ve savunma ekipleri arasında iletişim ve iş birliğini teşvik eden bu ortak çaba, kuruluşların güvenlik açıklarını tespit etmelerine, güvenlik kontrollerini test etmelerine ve daha kapsamlı ve birleşik bir yaklaşımla genel güvenlik duruşlarını iyileştirmelerine olanak tanır.

Mavi takıma geri dönecek olursak, savunma tarafı görevini yerine getirmek için çeşitli açık kaynaklı ve tescilli araçlar kullanır. Şimdi ilk kategoriden bu tür birkaç araca bakalım.

Ağ analiz araçları

Arkime

Ağ trafiği verilerini verimli bir şekilde işlemek ve analiz etmek için tasarlanan Arkime, büyük ölçekli bir paket arama ve yakalama (PCAP) sistemidir. PCAP dosyalarına göz atmak, aramak ve dışa aktarmak için sezgisel bir web arayüzüne sahipken, API’si PCAP ve JSON biçimlendirilmiş oturum verilerini doğrudan indirmenize ve kullanmanıza olanak tanır. Bunu yaparken, verilerin analiz aşamasında Wireshark gibi özel trafik yakalama araçlarıyla entegre edilmesini de sağlar.

Arkime, aynı anda birçok sistemde kullanılmak üzere tasarlanmıştır ve onlarca gigabit/saniye trafikle başa çıkabilecek şekilde ölçeklendirilebilir. PCAP’in büyük miktarda veriyi işlemesi, sensörün kullanılabilir disk alanına ve Elasticsearch kümesinin ölçeğine dayanır. Bu özelliklerin her ikisi de gerektiğinde ölçeklendirilebilir ve yöneticinin tam kontrolü altındadır.

Mavi Takım

Kaynak Arkime

Snort

Snort, potansiyel güvenlik tehditlerini tespit etmek ve önlemek için ağ trafiğini izleyen ve analiz eden açık kaynaklı bir saldırı önleme sistemidir (IPS). Gerçek zamanlı trafik analizi ve paket kaydı için yaygın olarak kullanılan bu sistem, ağdaki kötü niyetli etkinlikleri tanımlamaya yardımcı olan bir dizi kural kullanır ve bu tür şüpheli veya kötü niyetli davranışlarla eşleşen paketleri bulmasını ve yöneticiler için uyarılar oluşturmasını sağlar.

Ana sayfasına göre Snort’un üç ana kullanım alanı vardır:

  • Paket izleme
  • Paket kaydı (ağ trafiği hata ayıklama için kullanışlıdır)
  • Ağ İzinsiz Giriş Önleme Sistemi (IPS)

Ağdaki izinsiz girişlerin ve kötü niyetli faaliyetlerin tespiti için Snort’un üç genel kural seti vardır:

  • Topluluk kullanıcıları için kurallar: Herhangi bir ücret ve kayıt olmaksızın herhangi bir kullanıcı tarafından kullanılabilen kurallar.
  • Kayıtlı kullanıcılar için kurallar: Kullanıcı Snort’a kaydolarak çok daha spesifik tehditleri tanımlamak için optimize edilmiş bir dizi kurala erişebilir.
  • Aboneler için kurallar: Bu kurallar dizisi yalnızca daha doğru tehdit tanımlama ve optimizasyonuna izin vermekle kalmaz, aynı zamanda tehdit güncellemelerini alma yeteneğiyle birlikte gelir.
Mavi Takım

Kaynak: Snort

Olay yönetimi araçları

TheHive

TheHive, olay işleme, soruşturma ve müdahale faaliyetleri için işbirliğine dayalı ve özelleştirilebilir bir alan sağlayan ölçeklenebilir bir güvenlik olayı müdahale platformudur. MISP (Kötü Amaçlı Yazılım Bilgi Paylaşım Platformu) ile sıkı bir şekilde entegre edilmiştir ve Güvenlik Operasyon Merkezi (SOC’ler), Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT’ler), Bilgisayar Acil Durum Müdahale Ekibi (CERT’ler) ve hızlı bir şekilde analiz edilmesi ve harekete geçilmesi gereken güvenlik olaylarıyla karşılaşan diğer güvenlik uzmanlarının görevlerini kolaylaştırır. Bu nedenle, kuruluşların güvenlik olaylarını etkili bir şekilde yönetmesine ve bunlara yanıt vermesine yardımcı olur

Onu bu kadar kullanışlı yapan üç özellik var:

  • İşbirliği: Platform, (SOC) ve Bilgisayar Acil Durum Müdahale Ekibi (CERT) analistleri arasında gerçek zamanlı işbirliğini teşvik eder. Devam eden soruşturmaların vakalara, görevlere ve gözlemlenebilir olanlarına entegrasyonunu kolaylaştırır. Üyeler ilgili bilgilere erişebilir ve yeni MISP olayları, uyarılar, e-posta raporları ve SIEM entegrasyonları için özel bildirimler iletişimi daha da geliştirir.
  • Detaylandırma: Araç, verimli bir şablon motoru aracılığıyla vakaların ve ilgili görevlerin oluşturulmasını basitleştirir. Bir gösterge paneli aracılığıyla metrikleri ve alanları özelleştirebilirsiniz ve platform, kötü amaçlı yazılım veya şüpheli veriler içeren temel dosyaların etiketlenmesini destekler.
  • Performans: Oluşturulan her vakaya, doğrudan bir MISP olayından veya platforma gönderilen herhangi bir uyarıdan içe aktarma seçeneğinin yanı sıra özelleştirilebilir sınıflandırma ve filtreler de dahil olmak üzere bir ila binlerce gözlemlenebilir öğe ekleyin.
Mavi Takım

Kaynak: TheHive

GRR Hızlı Müdahale

GRR Rapid Response, canlı uzaktan adli analiz sağlayan bir olay müdahale çerçevesidir. Siber güvenlik soruşturmalarını ve olay müdahale faaliyetlerini kolaylaştırmak için sistemlerdeki adli verileri uzaktan toplar ve analiz eder. GRR, dosya sistemi meta verileri, bellek içeriği, kayıt defteri bilgileri ve olay analizi için çok önemli olan diğer eserler dahil olmak üzere çeşitli adli veri türlerinin toplanmasını destekler. Büyük ölçekli dağıtımların üstesinden gelmek için tasarlandığından, çeşitli ve kapsamlı BT altyapılarına sahip kuruluşlar için özellikle uygundur.

Bir istemci ve bir sunucu olmak üzere iki bölümden oluşur.

GRR istemcisi, araştırmak istediğiniz sistemlere dağıtılır. Bu sistemlerin her birinde, bir kez konuşlandırıldıktan sonra GRR istemcisi, çalışıp çalışmadıklarını doğrulamak için GRR ön uç sunucularını periyodik olarak yoklar. “Çalışıyor” derken belirli bir eylemi gerçekleştirmeyi kastediyoruz; bir dosya indirmek, bir dizini numaralandırmak vb.

GRR sunucu altyapısı çeşitli bileşenlerden (ön uçlar, çalışanlar, UI sunucuları, Fleetspeak) oluşur ve web tabanlı bir GUI ve analistlerin istemciler üzerinde eylemler planlamasına ve toplanan verileri görüntülemesine ve işlemesine olanak tanıyan bir API uç noktası sağlar.

Mavi Takım

Kaynak: GRR Hızlı Müdahale

İşletim sistemlerinin analizi

HELK

HELK veya The Hunting ELK, güvenlik uzmanlarının proaktif tehdit avcılığı yapmaları, güvenlik olaylarını analiz etmeleri ve olaylara müdahale etmeleri için kapsamlı bir ortam sağlamak üzere tasarlanmıştır. Çok yönlü ve genişletilebilir bir güvenlik analitiği platformu oluşturmak için ek araçlarla birlikte ELK yığınının gücünden yararlanır.

Çeşitli siber güvenlik araçlarını tehdit avcılığı ve güvenlik analitiği için birleşik bir platformda birleştirir. Birincil bileşenleri, günlük ve veri analizi için yaygın olarak kullanılan Elasticsearch, Logstash ve Kibana’dır (ELK yığını). HELK, tehdit algılama ve olay müdahalesi yeteneklerini geliştirmek için ek güvenlik araçları ve veri kaynaklarını entegre ederek ELK yığınını genişletir.

Amacı araştırma içindir ancak esnek tasarımı ve temel bileşenleri sayesinde, doğru yapılandırmalar ve ölçeklenebilir altyapı ile daha büyük ortamlarda konuşlandırılabilir.

Mavi Takım

Kaynak: HELK

Volatilite

Volatility Framework, tahmin ettiğiniz gibi, bir sistemin uçucu belleğinden (RAM) dijital eserlerin çıkarılmasına yönelik bir araçlar ve kütüphaneler koleksiyonudur. Bu nedenle, güvenliği ihlal edilmiş sistemlerden bellek dökümlerini analiz etmek ve devam eden veya geçmiş güvenlik olaylarıyla ilgili değerli bilgileri çıkarmak için dijital adli bilişim ve olay müdahalesinde yaygın olarak kullanılmaktadır.

Platformdan bağımsız olduğu için Windows, Linux ve macOS dahil olmak üzere çeşitli işletim sistemlerinden bellek dökümlerini destekler. Aslında Volatility, VMware veya VirtualBox tarafından oluşturulanlar gibi sanallaştırılmış ortamlardan gelen bellek dökümlerini de analiz edebilir ve böylece hem fiziksel hem de sanal sistem durumları hakkında içgörüler sağlayabilir.

Volatility eklenti tabanlı bir mimariye sahiptir. Çok çeşitli adli analizleri kapsayan zengin bir yerleşik eklenti seti ile birlikte gelir ancak kullanıcıların özel eklentiler ekleyerek işlevselliğini genişletmelerine de olanak tanır.

Mavi Takım

Kaynak Volatilite

Sonuç

İşte bu kadar. Mavi/kırmızı ekip tatbikatlarının bir kuruluşun savunmasının hazırlığını değerlendirmek için gerekli olduğunu ve bu nedenle sağlam ve etkili bir güvenlik stratejisi için hayati önem taşıdığını söylemeye gerek yok. Buna ek olarak, mavi ekipler siber güvenlik uyumluluğu ve düzenlemelerinde kilit bir rol oynamaktadır; bu da özellikle sağlık ve finans gibi yüksek düzeyde düzenlemeye tabi sektörlerde kritik öneme sahiptir. Mavi/kırmızı ekip tatbikatları aynı zamanda güvenlik uzmanları için gerçekçi eğitim senaryoları sağlar ve bu uygulamalı deneyim, gerçek olay müdahalesinde becerilerini geliştirmelerine yardımcı olur. Siz hangi takımdasınız?

Etiketler:

Öne Çıkanlar

© 2024, ESET Türkiye

© 1992 – 2024 ESET, spol. s r.o. – Tüm hakları saklıdır. Burada kullanılan markalar ESET spol. s r.o.’nun ya da ESET Kuzey Amerika’nın tescilli markalarıdır.
Diğer tüm isim ve markalar sahipleri olan saygıdeğer şirketlerin tescili altındadır.

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye

Bu kapanacak 0 saniye