本文主要是介绍攻防演练之-最有价值安全工具大巡礼,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
书接上文,《网络安全攻防演练风云》专栏之 攻防演练之-给家人介绍网络安全,这里。
小白在攻防演练这几天看到Nick团队使用了五花八门的安全工具对于安全产品的告警进行了分析,不禁好奇起来,在日常的网络安全运营以及攻防演练等应急响应的过程中,会使用到哪些工具呢?
对于后辈的问题,Nick总是非常的热心,对小白侃侃而谈起来。
“从安服的视角来看,网络安全运营的生态包含三个方面:第一是安全产品,攻防演练的过程中,对于防守方来说依赖的是大量的安全防护类产品的检测,阻断,告警,响应的能力。关于网络安全产品的介绍,我们之前有谈论过,《攻防演练之-网络安全产品大巡礼一》,这里,《攻防演练之-网络安全产品大巡礼二》,这里。第二是网络安全运营人员,关于网络安全运营人员,我们之前也有谈论过不同的岗位角色,《攻防演练之-给家人介绍网络安全》,这里。第三是围绕着网络安全产品和网络安全运营人员而建立的网络安全工具,绝大部分的网络安全工具以开源为主,因此具备开源工具的特点:”
- 性能无法保障
- 功能丰富
- 持续演进
- 部署可能比较复杂
- 没有售后支撑
”网络安全工具之所以在圈子内具备巨大的市场的原因在于,对于网络安全产品检测出的安全告警,往往还需要SOC分析师,应急响应人员借助其他的开源工具进行进一步的分析,网络安全产品本身并不能包办所有事情。我总体上介绍一下个分析和响应网络安全设备告警过程中最经常用到的若干开源工具,为参加护网HVV,攻防演练,重保活动的小伙伴提供一些提升效率的工具。虽然开源工具异常的繁多,但是如下的工具网络安全运营的过程中使用的频率最高。”
网络分析类
流量安全产品在国内国内外占据最大的市场份额,因此经常需要对防火墙,IDS/IPS,NDR等产品产生的告警进一步的分析。根据流量分析的目的不同,推荐如下几款提升效率的工具。
wireshark
基本上分析流量都会用的工具wieshark,尽管很多的安全产品都是提供了在线的数据包解析能力,但是绝大多数的人员还是习惯使用wireshark进行离线分析,主要是其强大的协议解析能力,以及灵活扩展的插件能力。关于wireshark更多实用功能使用,详见专栏《Wireshark从入门到精通》,这里。
NetworkMiner
如果想要提取流量数据包中相关的indicator内容,例如流量中的文件,图片,密码,DNS,关键字等,则推荐使用NetworkMiner,详见《网络安全应急响应工具之-流量安全取证NetworkMiner》,这里。
RITA
如果流量是从全流量设备中导出的一段时间的流量,需要做一些安全上的统计分析,例如是否存在C2保活通信行为,则推荐使用RITA,对应的连接,这里。
dalton
如果想要对全流量导出的数据包进行更加全面和彻底的检测,则推荐使用dalton,dalton继承了snort,suricata,zeek等三款常见的开源检测引擎,能够比较彻底的检测数据包中的威胁,详见《基于多种流量检测引擎识别pcap数据包中的威胁》,这里。规则集推荐使用ETPro规则集,关于该规则集的解释,详见《Emerging Threats rules suricata规则功能介绍》,这里。
终端分析类
Velociraptor
很多情况下有些设备没有安装EDR等设备,但是由于NDR等设备发现该终端存在的问题,需要继续深入取证分析,则推荐离线取证分析工具Velociraptor,其基本功能和常见的EDR软件类似。
procmon
EDR的目前的检测规则主要是检测恶意软件的行为,但是恶意软件的行为在正常的程序调用中也是存在。因此在分析EDR告警的时候会存在排除误报和验证的需求,即验证正常和异常软件的行为。关于监控软件行为的软件推荐使用sysinternals的processMonitor,详见这里。
volatility
很多时候EDR记录的windows以及Linux的自身日志也不能完全满足安全分析师的分析需求,还需要到内存中寻找响应的证据。关于内存取证的工具推荐使用volatility,详见这里。
邮件分析类
thunderbird
很多时候email中的URL隐藏在源码中,而邮件网关并不提供提取这些URL以及查看源码能力,因此要下载email查看对应的源码。thunderbird是一款离线的邮件查看软件,能够满足绝大多数关于邮件的需求。
文件分析类
在网络安全日常的运营,护网行动,重保活动的过程中,样本的分析是一个重要的过程,这些可疑或者恶意的样本的来源有如下几种:
- 数据包流量中提取的样本
- EMAIL邮件附件中提取的样本
- EDR软件中发现的样本
- 通过发现的C2等链接下载的样本
需要对上述来源的样本进行进一步的分析。
hybrid
对于样本的分析主要是沙箱,比较知名的两款开源沙箱是hybrid,见这里以及app any run ,这里,其中app any run是一款交互式的在线沙箱。
Cuckoo
如果想要部署本地沙箱,比较知名的是Cuckoo布谷鸟沙箱,详见这里,不过该款沙箱已经停止了维护。
ghidra
除了沙箱之外,对于恶意软件的分析需要借助专业的逆向分析工具进行debug分析,最为知名的是IDA,为付费软件。开源的替代软件为ghidra,见这里。
威胁情报类
VT
威胁情报查询是网络安全运营,护网,HVV,重保演练过程中最为常见的操作,目的是查找已知的情报信息。威胁情报类常见的查看IOC的平台包括virustotal,MISP,微步等,详见这里。
URLSCAN
除了被动的查看已知的IOC的信息,还可以通过扫描对应的URL获取实时的情报内容,例如URLSCAN,详见这里。
实用工具类
除了上述流量,终端,邮件,文件类的分析工具,往往各类的日志和告警会汇聚到SIEM等平台,针对SIEM上的日志的分析,如下两个实用工具值得关注。
Cyberchef
在安全运营分析过程中,不可避免需要解码,解密,解混淆各种数据,cyberchef是一款各种解码/加密/数据格式转换/hash/实用小工具的集合,是每一个安全分析师都应该掌握的工具,详见我的专栏《Cyberchef 从入门到精通教程》,这里。
Timesketch
目前很多的NDR,EDR,SIEM等平台的日志分析能力偏弱,针对这种情况,可以把NDR,EDR,SIEM,EVENTLOG等各种平台的日志进行导出,并导出到Timesketch 工具中进行分析。Timesketch是一款针对网络安全日志进行安全分析的开源平台,目前Timesketch支持针对百万条数据以上的分析能力,特别适合威胁狩猎,分析异常日志等。详见我的专栏《Timesketch从入门到精通教程》,这里。
上述工具的使用将会陆续在我的免费专栏《安全分析师工具篇》进行详细介绍,详见这里。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。
这篇关于攻防演练之-最有价值安全工具大巡礼的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
