Security Toolbox Forensics & Analysis Resources 9 - itnett/FTD02H-N GitHub Wiki
For å gi en mer strukturert oversikt som kan støtte sikkerhetspersonell gjennom hele sikkerhetsprosessen – fra forebygging til respons og opplæring – foreslår jeg å dele opp verktøyene og ressursene basert på deres rolle i en typisk sikkerhetslivssyklus. Denne syklusen kan deles inn i følgende faser:
- Forebyggende tiltak før angrep (Proaktive forsvarstiltak)
- Under et angrep/mistenkelig aktivitet (Overvåking, deteksjon og respons)
- Etter et angrep (Forensics og analyse)
- Opplæring, testing og trening (Forbedring av sikkerhetsberedskap)
- Angrepsvektorer (Kartlegging av spesifikke angrepsstadier og relevante verktøy)
Jeg har laget separate tabeller for hver fase, der verktøyene er delt inn etter hvilke steg i sikkerhetsprosessen de støtter.
1. Forebyggende tiltak før angrep (Proaktive forsvarstiltak)
Dette dekker verktøy som brukes for å sikre systemer og nettverk før et angrep inntreffer. Det inkluderer sårbarhetsskanning, kryptering, trusselintelligens og generell hardening av infrastruktur.
| Kategori | Verktøy/Plattformer | Beskrivelse |
|---|---|---|
| Sårbarhetsskanning | Nessus, Nikto, OpenSCAP, OpenVAS | Skanning etter kjente sårbarheter i systemer og applikasjoner. |
| Kryptering og Nøkkelstyring | VeraCrypt, BitLocker, HashiCorp Vault, GnuPG, Cryptomator | Kryptering av filer, disker og nøkkelstyring for å sikre data. |
| Trusselintelligens | IBM X-Force Exchange, AlienVault OTX, Recorded Future, ThreatMiner | Plattform for å dele og samle inn trusselintelligens og IOC-er (indikatorer på kompromittering). |
| Sikkerhetsanalyse av skytjenester | AWS CloudTrail, Azure Security Center, Prowler, Scout Suite | Skanning etter sårbarheter og analyse av skytjenester som AWS og Azure. |
2. Under et angrep/mistenkelig aktivitet (Overvåking, deteksjon og respons)
Her fokuserer vi på verktøy som brukes til å overvåke nettverk og systemer, samt verktøy for å respondere på aktive trusler og pågående angrep.
| Kategori | Verktøy/Plattformer | Beskrivelse |
|---|---|---|
| Nettverksanalyse | Wireshark, Shodan, Suricata, NtopNG, TShark | Overvåking og analyse av nettverkstrafikk for å identifisere uregelmessigheter og angrep. |
| Hendelseshåndtering | TheHive, Cortex, Velociraptor, GRR Rapid Response | Plattform for koordinering og respons på sikkerhetshendelser i sanntid. |
| Systemovervåking og Logganalyse | Graylog, ELK Stack, Splunk, Sysmon | Overvåking av systemlogger og analyse av hendelser for å identifisere kompromittering. |
3. Etter et angrep (Forensics og analyse)
Disse verktøyene brukes for å analysere hva som skjedde under et angrep, inkludert digitale forensics, fil- og minneanalyse, og datarekonstruksjon.
| Kategori | Verktøy/Plattformer | Beskrivelse |
|---|---|---|
| Fil- og malwareanalyse | Hybrid Analysis, MalwareBazaar, Any.Run, Cuckoo Sandbox, VirusTotal | Analyse av mistenkelige filer og malware, inkludert bruk av sandkasser. |
| Digital Forensics | Autopsy, FTK Imager, X-Ways Forensics, Bulk Extractor, KAPE | Verktøy for digital etterforskning og datagjenoppretting. |
| Minneanalyse | Volatility, Rekall, LiME | Verktøy for analyse av minnedumper og identifisering av skjulte prosesser. |
| Datarekonstruksjon | TestDisk, R-Studio, Recuva | Verktøy for å gjenopprette tapte data fra harddisker og andre lagringsenheter. |
4. Opplæring, testing og trening
Disse verktøyene brukes for å trene sikkerhetspersonell, teste systemer gjennom penetrasjonstesting, og forbedre sikkerhetsberedskapen i organisasjoner.
| Kategori | Verktøy/Plattformer | Beskrivelse |
|---|---|---|
| Penetrasjonstesting | Metasploit Framework, Burp Suite, Nikto | Verktøy for å teste sikkerheten til systemer ved å utnytte kjente sårbarheter. |
| Opplæringsplattformer | Sans Institute, TryHackMe, Blue Team Labs Online, DFIR Training | Plattform for opplæring og simulering av cybersikkerhetsscenarioer. |
| Sikkerhetstesting | Nessus, OpenVAS | Verktøy for sårbarhetsskanning og sikkerhetstesting av systemer. |
5. Angrepsvektorer og steg i angrepssyklusen
Denne tabellen gir en oversikt over de forskjellige stadiene av et typisk angrep og hvilke verktøy som er relevante i hvert steg.
| Angrepsvektor / Steg | Verktøy/Plattformer | Beskrivelse |
|---|---|---|
| Rekognosering | Shodan, The Harvester, SpiderFoot, Maltego | Samling av offentlig tilgjengelig informasjon om mål, inkludert IP-er og domen |
enavn. | | Utnyttelse av sårbarheter | Metasploit, Burp Suite, Nikto | Utnyttelse av sårbarheter i systemer og applikasjoner. | | Etterkompromittering | Velociraptor, TheHive, Cortex | Overvåking av aktivitet etter et kompromiss for å identifisere skadeomfang og videre aktivitet. | | Dekryptering og gjenoppretting | NoMoreRansom, Ciphey | Verktøy for dekryptering av filer infisert av ransomware og gjenoppretting av tapte data. |
Oppsummering:
Denne strukturerte tilnærmingen gir en klar oversikt over hvordan de ulike verktøyene passer inn i de forskjellige fasene av cybersikkerhetens livssyklus. Dette gjør det enklere å velge riktige verktøy for spesifikke behov, fra forebygging til etterforskning og opplæring. Tabellen dekker alle kjente stadier i en sikkerhetsprosess og er tilpasset for å hjelpe sikkerhetspersonell med å håndtere hele spekteret av mulige scenarier.
Håper dette gir deg en god og detaljert oversikt! 😊
Bildet viser "Pyramid of Pain", en modell som brukes i cybersikkerhet til å forklare nivåene av smerte forårsaket for angripere når sikkerhetstiltak implementeres. Pyramidens nivåer går fra "lett" (nederst) til "tøft" (øverst), basert på hvilken type data man blokkerer eller endrer for å forstyrre en angriper.
La oss koble hvert lag i Pyramid of Pain til relevante verktøy fra den tidligere verktøytabellen, som dekker de ulike angrepsstadiene.
Nivåer i Pyramid of Pain og relaterte verktøy
| Pyramidnivå | Beskrivelse | Verktøy/Plattformer |
|---|---|---|
| Hash Values (Easy) | Identifikasjon av kjente malware eller filer via hashverdier (MD5, SHA-256). | VirusTotal, MalwareBazaar, Hybrid Analysis |
| IP Address (Simple) | Blokkering eller overvåkning av IP-adresser assosiert med ondsinnet aktivitet. | Shodan, IPVoid, Graylog |
| Domain Name (Simple) | Blokkering eller overvåkning av ondsinnede domenenavn. | urlscan.io, The Harvester, PhishTool |
| Network/Host Artifacts (Annoying) | Identifikasjon av spesifikke nettverks- eller systemartefakter som brukes av angripere. | Wireshark, Suricata, Cortex |
| Tools (Challenging) | Deteksjon og blokkering av spesifikke verktøy som angripere bruker, som exploit kits. | Metasploit, Burp Suite, OpenVAS |
| Tactics, Techniques, and Procedures (TTP) (Tough) | Deteksjon og respons på angripernes metoder og angrepsmønstre, som strategier eller taktikker. | MITRE ATT&CK, TheHive, Velociraptor |
Forklaring av Pyramid of Pain-nivåer:
- Hash Values: Angripere kan enkelt endre filhashene til sine verktøy for å omgå deteksjon. Å blokkere en hash er effektivt på kjente trusler, men angripere kan raskt tilpasse seg.
- IP Address: Blokkering av IP-adresser forhindrer trafikk fra bestemte enheter, men angripere kan enkelt bytte IP-er ved bruk av proxyer eller VPN-er.
- Domain Name: Angripere kan endre domenenavn for C2-infrastruktur, men dette krever noe mer innsats enn å endre en IP.
- Network/Host Artifacts: Dette inkluderer spesifikke hendelser eller logger som blir etterlatt av angripere på systemer. Å oppdage disse artefaktene kan forstyrre angrepsmetodene.
- Tools: Når angriperens verktøy blir blokkert, må de bytte til andre løsninger, noe som krever mer innsats og tid.
- TTP: Dette er de mest avanserte strategiene og metodene angriperne bruker. Hvis sikkerhetsforsvar fokuserer på å forstyrre TTP-er, kan det gjøre det svært vanskelig for angripere å lykkes, da de må endre hele angrepsstrategien.
Dette er en strategisk måte å forstå hvordan ulike deteksjons- og blokkeringstiltak på hvert nivå kan forstyrre en angripers fremgang, og hvilke verktøy som hjelper til å håndtere hver type aktivitet på pyramidens nivåer.