實戰(zhàn)化的攻防演習(xí)活動一般具有時間短、任務(wù)急等特點，作為防守方，藍(lán)隊需要在日常安全運維工作的基礎(chǔ)上，從攻擊者角度出發(fā)，了解攻擊者的思路與打法，并結(jié)合本單位實際網(wǎng)絡(luò)環(huán)境、運營管理情況，制定相應(yīng)的技術(shù)防御和響應(yīng)機制，才能在演練活動中爭取主動權(quán)。

在此背景下，前期各項準(zhǔn)備工作是否充分將直接決定藍(lán)隊能否順利完成攻擊防守的任務(wù)，所謂“工欲善其事，必先利其器”，在攻防演練活動中，積極使用先進(jìn)的安全評估和防御工具，往往能起到事半功倍的效果，極大提升藍(lán)隊的工作效率。以下梳理了目前在全球攻防演練活動中，較受藍(lán)隊組織歡迎的6款開源防御工具，并對其應(yīng)用特點進(jìn)行了簡要分析。

1、網(wǎng)絡(luò)數(shù)據(jù)包分析工具：Arkime

圖片

Arkime是一個先進(jìn)的數(shù)據(jù)包搜索和捕獲（PCAP）系統(tǒng)，能夠有效地處理和分析網(wǎng)絡(luò)流量數(shù)據(jù)。它具有直觀的web界面，可用于瀏覽、搜索和導(dǎo)出PCAP文件，而其自帶的API接口，允許用戶直接下載和使用PCAP和json格式的會話數(shù)據(jù)。這樣就可以在分析階段將數(shù)據(jù)與專門的流量捕獲工具（如Wireshark）集成。

此外，Arkime還可以同時部署在許多系統(tǒng)上，并且可以擴展到每秒處理數(shù)十千兆比特的流量。PCAP對數(shù)據(jù)的處理能力是基于傳感器的可用磁盤空間和Elasticsearch集群的規(guī)模，這兩個資源數(shù)量都可以根據(jù)需要進(jìn)行擴展，并且完全由管理員控制。

傳送門：https://arkime.com/

2入侵檢測防御系統(tǒng)：Snort

圖片

Snort是一款開源的入侵檢測和防御系統(tǒng)（IPS），用于監(jiān)視和分析網(wǎng)絡(luò)流量，以檢測和預(yù)防潛在的安全威脅。它廣泛用于實時流量分析和數(shù)據(jù)包記錄，使用一系列規(guī)則來幫助定義網(wǎng)絡(luò)上的惡意活動，查找與此類可疑或惡意行為匹配的數(shù)據(jù)包，并為管理員生成警報。

根據(jù)其主頁介紹，Snort有三個主要用例：

? 包跟蹤；

? 包日志記錄（對網(wǎng)絡(luò)流量調(diào)試很有用）；

? 網(wǎng)絡(luò)入侵防御系統(tǒng)；

為了檢測網(wǎng)絡(luò)上的入侵和惡意活動，Snort有三組全局規(guī)則：

? 社區(qū)用戶規(guī)則：任何用戶都可以使用的規(guī)則，無需任何成本和注冊；

? 針對注冊用戶的規(guī)則：通過注冊Snort，用戶可以訪問一組經(jīng)過優(yōu)化的規(guī)則，以識別更具體的威脅；

? 訂閱者規(guī)則：這組規(guī)則不僅允許更準(zhǔn)確的威脅識別和優(yōu)化，而且還具有接收威脅更新的能力；

傳送門：https://www.snort.org/

3、安全事件管理工具：TheHive

圖片

TheHive是一個可擴展的安全事件響應(yīng)平臺，為事件處理、調(diào)查和響應(yīng)活動提供協(xié)作和可定制的空間。它與惡意軟件信息共享平臺（MISP）緊密集成，簡化了安全運營中心（SOC）、計算機安全事件響應(yīng)小組（CSIRT）、計算機應(yīng)急響應(yīng)小組（CERT）等需要快速分析和采取行動的安全專業(yè)人員工作流程。因此，它可以幫助組織有效地管理和響應(yīng)安全事件。

TheHive的高效性主要體現(xiàn)在以下三個方面：

? 協(xié)作：該平臺促進(jìn)了安全運營中心（SOC）和計算機應(yīng)急響應(yīng)小組（CERT）分析師之間的實時協(xié)作，可以將正在進(jìn)行的調(diào)查整合到案件、任務(wù)和觀察事項中；

? 精確化：該工具通過高效的模板引擎簡化了用例和相關(guān)任務(wù)的創(chuàng)建。用戶可以通過儀表板自定義指標(biāo)和字段，并且該平臺支持標(biāo)記包含惡意軟件或可疑數(shù)據(jù)的基本文件；

? 性能：為創(chuàng)建的每個案例添加一個到數(shù)千個可觀察對象，包括直接從MISP事件或發(fā)送到平臺的任何警報導(dǎo)入它們的選項，以及可定制的分類和過濾器。

傳送門：https://thehive-project.org/

4、安全事件響應(yīng)框架：GRR Rapid Response

圖片

GRR Rapid Response是一個開源的網(wǎng)絡(luò)安全事件響應(yīng)框架，支持實時遠(yuǎn)程取證分析。它遠(yuǎn)程收集和分析來自系統(tǒng)的取證數(shù)據(jù)，以促進(jìn)網(wǎng)絡(luò)安全調(diào)查和事件響應(yīng)活動。GRR支持收集各種類型的取證數(shù)據(jù)，包括文件系統(tǒng)元數(shù)據(jù)、內(nèi)存內(nèi)容、注冊表信息和其他對事件分析至關(guān)重要的構(gòu)件。這個框架是為實現(xiàn)大規(guī)模的應(yīng)用部署而構(gòu)建的，因此特別適合具有多樣化和廣泛IT基礎(chǔ)設(shè)施的企業(yè)。

GRR客戶端部署在用戶想要調(diào)查的系統(tǒng)上。在這些系統(tǒng)上，一旦部署完成，GRR客戶端就會定期輪詢GRR前端服務(wù)器，以驗證它們是否正在工作。“工作”意味著執(zhí)行一些特定的操作：下載一個文件，枚舉一個目錄，等等。

GRR服務(wù)器基礎(chǔ)設(shè)施由前端、工作器、UI服務(wù)器、Fleetspeak等組件組成，并提供基于web的GUI和API端點，允許分析師在客戶端上調(diào)度操作，并查看和處理收集的數(shù)據(jù)。

傳送門：https://github.com/google/grr

5、攻擊事件分析系統(tǒng)：HELK

圖片

HELK（或稱The Hunting ELK）旨在為安全專業(yè)人員提供一個全面的環(huán)境，以進(jìn)行主動的威脅狩獵，分析安全事件，并對事件做出反應(yīng)。它利用ELK堆棧的強大功能以及其他工具來創(chuàng)建一個多功能和可擴展的安全分析平臺。

該工具將各種網(wǎng)絡(luò)安全工具組合成一個統(tǒng)一的威脅搜索和安全分析平臺。它的主要組件是Elasticsearch、Logstash和Kibana，它們目前已經(jīng)被廣泛用于日志和數(shù)據(jù)分析。HELK通過集成額外的安全工具和數(shù)據(jù)源來擴展ELK堆棧，以增強其威脅檢測和事件響應(yīng)能力。

傳送門：https://thehelk.com/intro.html

6、內(nèi)存取證工具：Volatility

Volatility框架是一組工具和庫，用于從系統(tǒng)的易失性內(nèi)存（RAM）中提取數(shù)字信息。因此，它被廣泛用于數(shù)字取證和事件響應(yīng)中，以分析來自受損系統(tǒng)的內(nèi)存轉(zhuǎn)儲，并提取與正在進(jìn)行或過去的安全事件相關(guān)的有價值信息。

由于它是獨立于平臺的，它支持來自各種操作系統(tǒng)的內(nèi)存轉(zhuǎn)儲，包括Windows、Linux和macOS。實際上，Volatility還可以分析來自虛擬化環(huán)境的內(nèi)存轉(zhuǎn)儲，例如由VMware或VirtualBox創(chuàng)建的內(nèi)存轉(zhuǎn)儲，從而提供對物理和虛擬系統(tǒng)狀態(tài)的洞察。

Volatility有一個基于插件的架構(gòu)——它有一組豐富的內(nèi)置插件，涵蓋了廣泛的取證分析，但也允許用戶通過添加自定義插件來擴展其功能。

傳送門：https://www.volatilityfoundation.org/

參考鏈接：https://www.welivesecurity.com/en/business-security/blue-team-toolkit-6-open-source-tools-corporate-defenses/