6 أدوات مفتوحة المصدر للدفاع عن موقفك
هل سبق لك أن لعبت ألعاب الكمبيوتر مثل Halo أو Gears of War؟ إذا كان الأمر كذلك، فمن المؤكد أنك لاحظت وضع لعب يسمى Capture the Flag الذي يضع فريقين في مواجهة بعضهما البعض – أحدهما مسؤول عن حماية العلم من الخصوم الذين يحاولون سرقته.
يتم استخدام هذا النوع من التمارين أيضًا من قبل المؤسسات لقياس قدرتها على اكتشاف الهجمات الإلكترونية والاستجابة لها والتخفيف من حدتها. في الواقع، تعد عمليات المحاكاة هذه أساسية لتحديد نقاط الضعف في أنظمة المؤسسات وأفرادها وعملياتها قبل أن يستغلها المهاجمون. ومن خلال محاكاة التهديدات السيبرانية الواقعية، تسمح هذه التمارين لممارسي الأمن أيضًا بضبط إجراءات الاستجابة للحوادث وتعزيز دفاعاتهم ضد التحديات الأمنية المتطورة.
في هذه المقالة، ألقينا نظرة، بعبارات عامة، على كيفية تغلب الفريقين على الأمر والأدوات مفتوحة المصدر التي قد يستخدمها الجانب الدفاعي. أولاً، تجديد سريع للغاية لأدوار الفريقين:
- يلعب الفريق الأحمر دور المهاجم ويستفيد من التكتيكات التي تعكس تلك التي يتبعها ممثلو التهديد في العالم الحقيقي. ومن خلال تحديد نقاط الضعف واستغلالها، وتجاوز دفاعات المنظمة وتعريض أنظمتها للخطر، توفر هذه المحاكاة العدائية للمؤسسات رؤى لا تقدر بثمن حول الثغرات الموجودة في دروعها السيبرانية.
- في هذه الأثناء، يتولى الفريق الأزرق الدور الدفاعي حيث يهدف إلى كشف وإحباط توغلات الخصم. يتضمن ذلك، من بين أمور أخرى، نشر أدوات الأمن السيبراني المختلفة، ومراقبة حركة مرور الشبكة بحثًا عن أي حالات شاذة أو أنماط مشبوهة، ومراجعة السجلات التي تم إنشاؤها بواسطة أنظمة وتطبيقات مختلفة، ومراقبة البيانات وجمعها من نقاط النهاية الفردية، والاستجابة بسرعة لأي علامات وصول غير مصرح به أو سلوك مشبوه.
كملاحظة جانبية، هناك أيضًا فريق أرجواني يعتمد على نهج تعاوني ويجمع بين الأنشطة الهجومية والدفاعية. ومن خلال تعزيز التواصل والتعاون بين الفرق الهجومية والدفاعية، يتيح هذا الجهد المشترك للمؤسسات تحديد نقاط الضعف واختبار الضوابط الأمنية وتحسين وضعها الأمني العام من خلال نهج أكثر شمولاً وتوحيدًا.
الآن، وبالعودة إلى الفريق الأزرق، يستخدم الجانب الدفاعي مجموعة متنوعة من الأدوات مفتوحة المصدر والملكية لإنجاز مهمته. دعونا الآن نلقي نظرة على بعض هذه الأدوات من الفئة السابقة.
أدوات تحليل الشبكة
أركيمي
مصممة لمعالجة وتحليل بيانات حركة مرور الشبكة بكفاءة، أركيمي هو نظام واسع النطاق للبحث عن الحزم والتقاطها (PCAP). إنه يتميز بواجهة ويب بديهية لتصفح ملفات PCAP والبحث عنها وتصديرها بينما تسمح لك واجهة برمجة التطبيقات (API) الخاصة به بتنزيل واستخدام بيانات الجلسة بتنسيق PCAP وJSON مباشرة. ومن خلال القيام بذلك، فإنه يسمح بدمج البيانات مع أدوات التقاط حركة المرور المتخصصة مثل Wireshark أثناء مرحلة التحليل.
تم تصميم Arkime ليتم نشره على العديد من الأنظمة في وقت واحد ويمكن توسيع نطاقه للتعامل مع عشرات الجيجابت/الثانية من حركة المرور. تعتمد معالجة PCAP لكميات كبيرة من البيانات على مساحة القرص المتاحة للمستشعر وحجم مجموعة Elasticsearch. يمكن توسيع نطاق هاتين الميزتين حسب الحاجة، وهما تحت السيطرة الكاملة للمسؤول.
مصدر: أركيمي
شخير
شخير هو نظام مفتوح المصدر لمنع التطفل (IPS) يقوم بمراقبة وتحليل حركة مرور الشبكة لاكتشاف التهديدات الأمنية المحتملة ومنعها. يُستخدم على نطاق واسع لتحليل حركة المرور في الوقت الفعلي وتسجيل الحزم، ويستخدم سلسلة من القواعد التي تساعد في تحديد النشاط الضار على الشبكة وتسمح لها بالعثور على الحزم التي تتطابق مع مثل هذا السلوك المشبوه أو الضار وتقوم بإنشاء تنبيهات للمسؤولين.
وفقًا لصفحته الرئيسية، لدى Snort ثلاث حالات استخدام رئيسية:
- تتبع الحزمة
- تسجيل الحزم (مفيد لتصحيح أخطاء حركة مرور الشبكة)
- نظام منع اختراق الشبكة (IPS)
للكشف عن التطفلات والأنشطة الضارة على الشبكة، لدى Snort ثلاث مجموعات من القواعد العالمية:
- قواعد لمستخدمي المجتمع: تلك المتاحة لأي مستخدم دون أي تكلفة وتسجيل.
- قواعد للمستخدمين المسجلين: من خلال التسجيل في Snort، يمكن للمستخدم الوصول إلى مجموعة من القواعد المحسنة لتحديد التهديدات الأكثر تحديدًا.
- قواعد للمشتركين: لا تسمح مجموعة القواعد هذه بتحديد التهديدات وتحسينها بشكل أكثر دقة فحسب، ولكنها تأتي أيضًا مع القدرة على تلقي تحديثات التهديدات.
مصدر: شخير
أدوات إدارة الحوادث
الخلية
الخلية عبارة عن منصة قابلة للتطوير للاستجابة للحوادث الأمنية توفر مساحة تعاونية وقابلة للتخصيص للتعامل مع الحوادث والتحقيق فيها وأنشطة الاستجابة. إنه متكامل بشكل وثيق مع MISP (منصة مشاركة معلومات البرامج الضارة) ويسهل مهام مركز العمليات الأمنية (SOCs) وفريق الاستجابة لحوادث أمن الكمبيوتر (CSIRTs) وفريق الاستجابة لطوارئ الكمبيوتر (CERTs) وأي محترفين أمنيين آخرين يواجهون حوادث أمنية تحتاج إلى تحليل والتصرف بسرعة. وعلى هذا النحو، فهو يساعد المؤسسات على إدارة الحوادث الأمنية والاستجابة لها بشكل فعال
هناك ثلاث ميزات تجعله مفيدًا جدًا:
- تعاون: تعمل المنصة على تعزيز التعاون في الوقت الفعلي بين محللي (SOC) وفريق الاستجابة لطوارئ الكمبيوتر (CERT). فهو يسهل تكامل التحقيقات الجارية في الحالات والمهام والملاحظات. يمكن للأعضاء الوصول إلى المعلومات ذات الصلة، كما تعمل الإشعارات الخاصة بأحداث MISP الجديدة والتنبيهات وتقارير البريد الإلكتروني وعمليات تكامل SIEM على تعزيز الاتصال.
- تفصيل: تعمل الأداة على تبسيط إنشاء الحالات والمهام المرتبطة بها من خلال محرك قالب فعال. يمكنك تخصيص المقاييس والحقول عبر لوحة المعلومات، ويدعم النظام الأساسي وضع علامات على الملفات الأساسية التي تحتوي على برامج ضارة أو بيانات مشبوهة.
- أداء: أضف في أي مكان من واحد إلى آلاف العناصر القابلة للملاحظة لكل حالة تم إنشاؤها، بما في ذلك خيار استيرادها مباشرة من حدث MISP أو أي تنبيه يتم إرساله إلى النظام الأساسي، بالإضافة إلى التصنيف والمرشحات القابلة للتخصيص.
مصدر: الخلية
الاستجابة السريعة لـ GRR
الاستجابة السريعة لـ GRR هو إطار عمل للاستجابة للحوادث يتيح تحليل الطب الشرعي المباشر عن بعد. يقوم بجمع وتحليل بيانات الطب الشرعي من الأنظمة عن بعد من أجل تسهيل تحقيقات الأمن السيبراني وأنشطة الاستجابة للحوادث. يدعم GRR جمع أنواع مختلفة من بيانات الطب الشرعي، بما في ذلك البيانات التعريفية لنظام الملفات، ومحتوى الذاكرة، ومعلومات التسجيل، وغيرها من العناصر المهمة لتحليل الحوادث. لقد تم تصميمه للتعامل مع عمليات النشر واسعة النطاق، مما يجعله مناسبًا بشكل خاص للمؤسسات ذات البنى التحتية المتنوعة والشاملة لتكنولوجيا المعلومات.
وهو يتألف من جزأين، العميل والخادم.
يتم نشر عميل GRR على الأنظمة التي تريد التحقق منها. في كل نظام من هذه الأنظمة، بمجرد نشرها، يقوم عميل GRR باستقصاء خوادم الواجهة الأمامية لـ GRR بشكل دوري للتحقق مما إذا كانت تعمل أم لا. نعني بكلمة “العمل” تنفيذ إجراء محدد: تنزيل ملف، وتعداد دليل، وما إلى ذلك.
تتكون البنية التحتية لخادم GRR من عدة مكونات (الواجهات الأمامية، والعمال، وخوادم واجهة المستخدم، وFleetspeak) وتوفر واجهة المستخدم الرسومية على شبكة الإنترنت ونقطة نهاية واجهة برمجة التطبيقات التي تسمح للمحللين بجدولة الإجراءات على العملاء وعرض ومعالجة البيانات المجمعة.
مصدر: الاستجابة السريعة لـ GRR
تحليل أنظمة التشغيل
هيلك
هيلك، أو The Hunting ELK، تم تصميمه لتوفير بيئة شاملة لمحترفي الأمن لإجراء مطاردة استباقية للتهديدات، وتحليل الأحداث الأمنية، والاستجابة للحوادث. إنه يعزز قوة حزمة ELK جنبًا إلى جنب مع أدوات إضافية لإنشاء منصة تحليلات أمنية متعددة الاستخدامات وقابلة للتوسيع.
فهو يجمع بين أدوات الأمن السيبراني المختلفة في منصة موحدة لصيد التهديدات والتحليلات الأمنية. مكوناته الأساسية هي Elasticsearch وLogstash وKibana (ELK stack)، والتي تُستخدم على نطاق واسع لتحليل السجلات والبيانات. تقوم HELK بتوسيع حزمة ELK من خلال دمج أدوات الأمان الإضافية ومصادر البيانات لتعزيز قدراتها على اكتشاف التهديدات والاستجابة للحوادث.
الغرض منه هو البحث، ولكن نظرًا لتصميمه المرن ومكوناته الأساسية، يمكن نشره في بيئات أكبر مع التكوينات الصحيحة والبنية التحتية القابلة للتطوير.
مصدر: هيلك
التقلب
ال إطار التقلب عبارة عن مجموعة من الأدوات والمكتبات لاستخراج القطع الأثرية الرقمية من الذاكرة المتطايرة (RAM) للنظام. ولذلك، فهو يستخدم على نطاق واسع في الطب الشرعي الرقمي والاستجابة للحوادث لتحليل عمليات تفريغ الذاكرة من الأنظمة المخترقة واستخراج المعلومات القيمة المتعلقة بالحوادث الأمنية الحالية أو السابقة.
نظرًا لأنه مستقل عن النظام الأساسي، فهو يدعم عمليات تفريغ الذاكرة من مجموعة متنوعة من أنظمة التشغيل، بما في ذلك Windows وLinux وmacOS. في الواقع، يمكن لـ Volatility أيضًا تحليل عمليات تفريغ الذاكرة من البيئات الافتراضية، مثل تلك التي تم إنشاؤها بواسطة VMware أو VirtualBox، وبالتالي توفير رؤى حول حالات النظام الفعلية والافتراضية.
تتمتع Volatility ببنية قائمة على المكونات الإضافية – فهي تأتي مع مجموعة غنية من المكونات الإضافية المضمنة التي تغطي نطاقًا واسعًا من التحليلات الجنائية، ولكنها تسمح أيضًا للمستخدمين بتوسيع وظائفها عن طريق إضافة مكونات إضافية مخصصة.
مصدر: التقلب
خاتمة
إذن هذا هو الحال. وغني عن القول أن تدريبات الفريق الأزرق/الأحمر ضرورية لتقييم مدى استعداد دفاعات المنظمة، وبالتالي فهي حيوية لاستراتيجية أمنية قوية وفعالة. توفر المعلومات الوفيرة التي تم جمعها خلال هذا التمرين للمؤسسات نظرة شاملة لوضعها الأمني وتسمح لها بتقييم مدى فعالية بروتوكولاتها الأمنية.
بالإضافة إلى ذلك، تلعب الفرق الزرقاء دورًا رئيسيًا في الامتثال والتنظيم للأمن السيبراني، وهو أمر بالغ الأهمية بشكل خاص في الصناعات شديدة التنظيم، مثل الرعاية الصحية والتمويل. توفر تمارين الفريق الأزرق/الأحمر أيضًا سيناريوهات تدريب واقعية لمحترفي الأمن، وتساعدهم هذه الخبرة العملية على صقل مهاراتهم في الاستجابة الفعلية للحوادث.
في أي فريق ستسجل؟
إرسال التعليق