День 2. Введение в оборонительную безопасность THM
Сегодня разберемся с ребятами из синей команды - Blue Team
На прошлом занятии пробовали себя в роли хакера - Red Team, эти же ребята из Blue Team мониторят, что и как происходит в системе, кто куда подключился, что делает, какие команды вводят, как долго пользователи находятся, их права, настраивают разные системы, пишут правильные конфиги, разбирают вирусы и вредоносное ПО, тд.. Грубо говоря стражи безопасности систем.
Да бывают разные отдели синей команды, пример тому отдел SOC, Цифровая криминалистика, Анализ вредоносного ПО, разберем каждую.
Ребятки из SOC сидят и мониторят уязвимости, нарушения политики, разные активности пользователей, вторжения. Множество графиков, мониторов, короче своя романтика, они делятся по линиям: первая, вторая, третья. Соответственно чем выше, тем серьезней задачи и опыт команды.
DFIR - Криминалисты, тут уже ребята копаются во вредоносных программах, вирусах, разбирают подетально, чтобы найти решения как их блокировать и выявлять, внедряя в различные системы по типу SIEM.
SIEM (Security Information and Event Management) — это система, которая сочетает в себе мониторинг, сбор и анализ данных с целью обнаружения инцидентов безопасности. В отличие от антивируса, который чаще всего занимается проверкой и блокировкой антивирусных программ на отдельных устройствах, SIEM-системы работают на более высоком уровне и владеют рядом.
Цифровая криминалистика и реагирование на инциденты
- Подготовка: Для этого требуется обученная и готовая к инцидентам команда. В идеале, различные меры принимаются для предотвращения инцидентов в первую очередь.
- Обнаружение и анализ: у команды есть необходимые ресурсы для обнаружения любого инцидента; более того, крайне важно провести дополнительный анализ любого обнаруженного инцидента, чтобы узнать его серьезность.
- Сдерживание, искоренение и восстановление: После обнаружения инцидента крайне важно не допустить его влияния на другие системы, устранить его и восстановить затронутые системы. Например, когда мы замечаем, что система заражена компьютерным вирусом, мы хотели бы остановить (сдержать) распространение вируса на другие системы, очистить (искоренить) вирус и обеспечить надлежащее восстановление системы.
- Действия после инцидента: после успешного восстановления составляется отчет, а извлеченные уроки распространяются для предотвращения подобных инцидентов в будущем.
Приятный бонус, за неделю правильных ответов, но пропускать я не собираюсь, всегда должно быть развитие, обучение.
SOC - попробуем себя в данной команде. Запускаем сайт.
Нужно засечь подозрительную активность. SIEM засекла несанкционированый подключение с адреса 143.110.250.149:22
Выбираем его и копируем ip адресс
Есть сервисы которые помогают узнать некую информацию про ip адреса на подозрение или вредонос, замечался ли этот ip в атаках и тд..
Так как мы работаем допустим на 1 линии, нужно подумать кому передать информацию о найденном ip адресе, он оказался подозрительным и успешным входом. Конечно же, передадим нашему начальству.
Создадим правило в FireWall - "Горящая стена" это наш фильтр между подключениями разными ip и передачей данных, компьютера или системы с интернетом. Блокируем IP.
Получаем наш ФЛАГ, это было просто)
Итоги:
1) Узнали что за синяя команда (Blue Team)
3) Побыли в роли специалиста первой линии SOC
4) Узнали о различных отделах и чем они занимаются.
Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!