Kako nastaviti simulator napadov na domače omrežje, namenjen malim in srednje velikim podjetjem

Nastavite simulator napada na domače omrežje Postal je eden najbolj privlačnih in uporabnih projektov za vse, ki se začenjajo ukvarjati s kibernetsko varnostjo ali želijo svojo kariero dvigniti na višjo raven v profesionalnem okolju. Ideja je preprosta: v laboratoriju poustvariti napade iz resničnega sveta in se hkrati naučiti, kako jih zaznati in omejiti, tako kot bi to storila modra ekipa v majhnem ali srednje velikem podjetju.

Namesto da bi bili omejeni na nekaj strojev v VirtualBoxu brez nadaljnjih skrivnostiResnično zanimivo je oblikovanje majhnega "mini podjetja" v laboratoriju: uporabniški računalniki, strežnik dnevnikov, orodja SIEM, interne storitve in seveda napadalec. To vam omogoča, da predstavite realistične grožnje, preizkusite obrambne mehanizme in predvsem vadite celotne procese odkrivanja in odzivanja, ne da bi pri tem ogrozili produkcijska omrežja ali se povezali z resničnim internetom.

Kaj je simulator napada na domače omrežje in zakaj bi vas moral zanimati?

Simulator napada na domače omrežje je v bistvu laboratorijsko okolje V tem okolju replicirate resnično omrežje (domače ali malo poslovno) za izvajanje nadzorovanih napadov, ustvarjanje telemetrije in urjenje obrambnih tehnik. Ne gre le za "igranje hekerja" s Kalijem, temveč za gradnjo scenarija z žrtvami, storitvami, dnevniki, opozorili in celotnim ciklom napada in odziva.

Te vrste simulatorjev izhajajo iz iste potrebe, kot jo imajo velike organizacije. Ko vzpostavljajo kibernetske uvrstitve ali vaje v tajnih okoljih: usposabljajo in ocenjujejo ekipe brez povezave z internetom in brez vdora zlonamerne programske opreme od zunaj. Tam se uporabljajo kompleksni nabori orodij za simulacijo tisočih spletnih mest, realističnega prometa, lažnih uporabnikov in celotnih omrežij; doma ali v majhnem podjetju je ideja, da se ta pristop ponovi, vendar v manjšem obsegu.

V praksi dober simulator napadov na domača ali mala poslovna omrežja Omogoča vam, da odgovorite na ta vprašanja: Kako napadalec vstopi? Kaj pusti v dnevnikih? Kako to zazna SIEM? Katera opozorila je treba ustvariti? Katere korake mora upoštevati odzivna ekipa? Oblikovanje okolja z miselnostjo "modre ekipe" je tisto, zaradi česar je vaš projekt resen in ga profesor ali varnostni vodja lahko branijo.

Poleg tega, zahvaljujoč sodobni virtualizaciji Celotno okolje lahko nastavite na enem samem gostitelju z dovolj RAM-a, izoliranem od preostalega omrežja, in ga ponovno uporabite za lastno usposabljanje, usposabljanje drugih ali celo za izvajanje internih predstavitev v podjetju, ne da bi bili odvisni od zunanjih laboratorijev.

Zahteve glede strojne in programske opreme za laboratorij

Preden začnete ustvarjati virtualne stroje, kot da jutri ni večVredno je pregledati vaše zahteve glede virov in orodij. Minimalno realistično okolje porablja pomnilnik in procesor, in če vam ne uspe, boste na koncu imeli počasnega gostitelja in zamrznjene virtualne stroje ravno takrat, ko jih boste najbolj potrebovali.

Kot razumna referenca bi idealno morali imeti vsaj 16 GB RAM-a. na fizični strojni opremi, da bi lahko hkrati zagnali več naprav brez prevelike obremenitve. Z manj je mogoče, vendar boste morali nenehno zmanjševati dodelitev pomnilnika v navideznih strojih in nekatere izklopiti, da bi vklopili druge, kar zaplete postopek in naredi izkušnjo manj gladko.

Kar zadeva virtualizacijo, sta najpogostejši možnosti VMware Workstation in VirtualBox, vredno pa je razmisliti tudi o tehnologijah, kot so Varnost na osnovi virtualizacije (VBS)Oba omogočata ustvarjanje izoliranih notranjih omrežij, posnetkov in hitro kloniranje virtualnih strojev. VMware na splošno ponuja nekoliko boljšo zmogljivost in integracije, medtem ko ima VirtualBox prednost, da je brezplačen in se pogosto uporablja v akademskih okoljih.

Na ravni operacijskih sistemov in varnostne programske opremeOsnove za ta projekt bi bile:

• ISO-datoteka Kali Linuxa (ali druga distribucija, usmerjena v testiranje s prodorom) za napadalno ekipo.
• ISO-datoteka sistema Windows 10 za ekipo končnih uporabnikov in žrtev.
• Brezplačni namestitveni program Splunk ali alternativa SIEM za centralizacijo dnevnikov.
• Sysinternalsov Sysmon in konfiguracijska datoteka XML dobro opravljeno, tako kot pri projektih tipa Sysmon Modular.

Končno potrebujete internetno povezavo vsaj v začetni fazi. za prenos datotek ISO, posodobitev distribucije in vse pomožne programske opreme. Ko je laboratorij enkrat nastavljen, ga je običajno izolirati, da se izognete presenečenjem in zagotovite, da nobena testna zlonamerna programska oprema ne uide v vaše domače ali poslovno omrežje.

Načrtovanje topologije omrežja za simulirano malo in srednje veliko podjetje

Preskok iz "doma narejenega" laboratorija v simulator, zasnovan za mala ali srednje velika podjetja Gre za topologijo: ni več dovolj, da imata Kali in sistem Windows, ki delujeta v istem omrežju. Bolje je razmišljati v smislu segmentov, vlog in storitev, tako kot bi to počeli v produkcijskem omrežju.

Preprosta, a realistična shema bi lahko vključevala vsaj tri ločene cone Znotraj virtualnega omrežja: uporabniško omrežje (Windows 10), segment, kjer se nahajajo notranje storitve (na primer strežnik Windows ali Linux z nekaterimi storitvami in SIEM), in omrežje, iz katerega Kali napada. Vse to je mogoče predstaviti z uporabo notranjih omrežij v hipervizorju, virtualnih usmerjevalnikov ali preprosto s pravilno konfiguriranimi NAT-i.

V tem primeru se Kali Linux obnaša kot zunanji napadalec ali ogroženi stroj. ki se poskuša osredotočiti na interne vire podjetja. Windows 10 deluje kot delovna postaja zaposlenega z orodji za pisarno, brskalnikom, e-pošto in vsem drugim, kar se vam zdi potrebno za zagotavljanje konteksta. Splunk deluje kot osrednji nadzorni sistem, ki prejema dogodke tako iz sistema Windows (dnevniki Sysmon in sistemski dnevniki) kot iz vseh drugih naprav, ki jih izberete.

Ideja je, da ves ustvarjen zlonamerni promet prehaja skozi "radar" SIEM. in se zabeleži za analizo. Na ta način vsak simuliran napad samodejno postane študija primera: lahko rekonstruirate časovnico, prepoznate kazalnike kompromitacije in preizkusite korelacijska pravila ali opozorila, ki jih je nato mogoče ekstrapolirati na resnično okolje malih in srednje velikih podjetij.

Ustvarjanje in konfiguriranje virtualnih strojev

Prvi praktični del projekta je sestavljen iz nastavitve potrebnih virtualnih strojev. in jih postavite znotraj definirane topologije. Tukaj izberete, koliko pomnilnika in procesorja želite dodeliti vsakemu od njih, katere diske boste uporabili in kako jih boste med seboj povezali.

Za Kali Linux je tipičen postopek prenos ISO-ja z uradne spletne strani.V VMware ali VirtualBox ustvarite nov virtualni stroj, dodelite nekaj gigabajtov RAM-a in nekaj jeder ter dokončajte namestitev kot kateri koli drug sistem. Takoj po namestitvi je priporočljivo posodobiti vse razpoložljive pakete, da zagotovite najnovejšo različico orodij za testiranje penetracije.

Stroj z operacijskim sistemom Windows 10 je ustvarjen na podoben načinČe nameravate namestiti Splunk ali hkrati zagnati več uporabniških aplikacij, je pri uporabi uradnega Microsoftovega ISO-ja priporočljivo dodeliti več pomnilnika kot Kali. Med namestitvijo se prepričajte, da omrežna konfiguracija omogoča komunikacijo z drugimi virtualnimi stroji v laboratoriju, vendar brez dostopa do interneta, razen če je to nujno potrebno za vaše teste.

Dobra praksa je ustvariti posnetke, ko so navidezni stroji v "čistem" stanju. S posodobljenim sistemom in nameščenimi osnovnimi orodji se lahko vsakič, ko izvedete agresivno simulacijo (na primer zagon zlonamerne programske opreme, ustvarjene z msfvenom), vrnete v začetno stanje, ne da bi morali vse znova namestiti od začetka.

Spremljanje dnevnikov s Splunkom kot osrednjim SIEM-om

Da bi bil simulator napada na domače omrežje dragocen z obrambnega vidikaPotrebujete sistem, ki je sposoben zbiranja in analiziranja dogodkov v celotnem omrežju. Splunk se tudi v brezplačni različici zelo dobro poda kot lahek laboratorijski SIEM in je odličen za poučevanje konceptov spremljanja in odkrivanja.

Tipična namestitev v majhnem okolju vključuje namestitev Splunka neposredno na računalnik z operacijskim sistemom Windows 10. ali na namenskem strežniku Windows/Linux znotraj iste topologije. Ko je nameščen, se prijavite s skrbniškimi poverilnicami, konfigurirate indekse in začnete definirati podatkovne vnose za zbiranje varnostnih, sistemskih in aplikacijskih dnevnikov ter, kar je zelo pomembno, bogatih dogodkov, ki jih generira Sysmon.

Znotraj Splunka lahko ustvarite specifična iskanja za sledenje sumljivim dejavnostimkot so anomalni procesi, odhodne povezave z nenavadnimi vrati ali sumljive spremembe registra sistema Windows. Naslednji logični korak teh iskanj je pretvorba uporabnih poizvedb v opozorila, ki se sprožijo, ko so izpolnjeni določeni pogoji, s čimer se posnema vsakodnevno delo varnostnega analitika.

Več telemetričnih podatkov kot pošljete v SIEM, bolj realistične bodo vaše vaje.Večji kot so dnevniki, večja je količina podatkov za upravljanje. V akademskem ali demonstracijskem okolju je smiselno osredotočiti se na ključne dnevnike za zaznavanje vdorov: dogodke prijave, procese, omrežno aktivnost, kritične spremembe konfiguracije in dnevnike, specifične za nameščena varnostna orodja.

Uporaba Sysmona v sistemu Windows za zajemanje zlonamernih dejavnosti

Sysmon (sistemski nadzornik) je bistveno orodje, če želite videti, "kaj je notri" To počne zlonamerna programska oprema ali vdor v sistemu Windows. Za razliko od tradicionalnih dnevnikov Sysmon ustvarja zelo podrobne dogodke o procesih, omrežnih povezavah, spremembah datotečnega sistema in še veliko več, zaradi česar je osnova za številne napredne metode zaznavanja.

Namestitev na virtualni stroj z operacijskim sistemom Windows 10 vključuje prenos programa Sysmon s spletnega mesta Sysinternals. in ga spremljajte z robustno konfiguracijsko datoteko XML. Namesto pisanja od začetka je običajno uporabiti javne konfiguracije, ki jih vzdržuje skupnost in ki že vključujejo pravila za filtriranje šuma in poudarjanje običajno zlonamernega vedenja.

Namestitev se izvede iz konzole PowerShell s skrbniškimi pravicami.z določitvijo izvedljive datoteke in konfiguracijske datoteke XML. Po namestitvi je priporočljivo preveriti, ali storitev deluje pravilno in ali se dogodki začnejo prikazovati v pregledovalniku dogodkov sistema Windows v dnevnikih Microsoft-Windows-Sysmon.

Ko potrdite, da Sysmon deluje, je ključni korak zagotoviti, da se njegovi dogodki pošiljajo v Splunk. ali v SIEM, ki ga uporabljate. Takoj ko ustvarite simuliran napad, bo Sysmon pustil »forenzično sled« procesov, zgoščevalnih vrednosti, povezav in dejanj, ki jih lahko kasneje analizirate v prostem času in korak za korakom rekonstruirate celoten scenarij napada.

Ustvarjanje testne zlonamerne programske opreme z msfvenom

Za poživitev okolja potrebujete realističen koristni tovor, ki se obnaša kot zlonamerna programska oprema.Vendar takega, ki ga lahko popolnoma nadzorujete. msfvenom, del ekosistema Metasploit, vam omogoča ustvarjanje prilagojenih zlonamernih izvedljivih datotek, ki se povežejo nazaj z vašim računalnikom Kali in vam omogočijo oddaljeni dostop do žrtve.

Iz Kali VM lahko na primer ustvarite "kamuflirano" izvedljivo datoteko Ta datoteka z neškodljivim imenom, kot je »dokument« ali »CV«, se bo v sistemu Windows 10 izvedla, da bi simulirala odpiranje zlonamerne datoteke s strani zaposlenega. Ukaz msfvenom določa vrsto koristnega tovora, IP-naslov in vrata napadalca (LHOST in LPORT) ter izhodno obliko datoteke.

Rezultat je binarna datoteka, ki v očeh sistema Windows in mnogih osnovnih protivirusnih programov ni vidna sistemu Windows in mnogim osnovnim protivirusnim programom.To lahko ostane neopaženo, če niso pravilno posodobljeni ali konfigurirani. V laboratorijskem okolju je običajna praksa, da se Windows Defender ali druge varnostne rešitve na navideznem računalniku začasno onemogočijo, da ne motijo ​​poskusa, kar vam omogoča, da se osredotočite na dnevnik in vidike zaznavanja SIEM.

Pomembno je poudariti, da so ti koristni tovori namenjeni izključno za izobraževalno uporabo. znotraj izoliranega okolja, ki ste ga ustvarili. Nikoli ne smejo zapustiti laboratorija ali biti uporabljeni proti sistemom, ki jih ne nadzorujete ali za katere nimate izrecnega dovoljenja, saj bi to pomenilo nezakonito uporabo ofenzivnih orodij.

Konfiguracija poslušalca Metasploit in izvajanje napada

Ko je koristni tovor zdaj ustvarjen, je naslednji korak priprava poslušalnika Metasploit v Kali. ki bo poskrbel za sprejem povezave z žrtevnega računalnika, ko nekdo zažene zlonamerno datoteko. To se izvede iz msfconsole, glavnega vmesnika ogrodja.

Znotraj Metasploita izberete ustrezen izkoriščanje ali obdelovalec za koristni tovor, ki ste ga ustvarili.Konfigurirajte LHOST in LPORT tako, da se ujemata s parametri, uporabljenimi v msfvenom, in poslušalnik postavite v stanje pripravljenosti. Od takrat naprej bi moralo vsako izvajanje binarne datoteke v sistemu Windows sprožiti obratno povezavo s Kali.

Ko žrtev izvede domnevni dokument, če je vse pravilno konfiguriranoPridobili boste sejo Meterpreter ali podobno, ki vam omogoča interakcijo s sistemom Windows: seznam datotek, zajemanje posnetkov zaslona, ​​prenos dokumentov itd. Poleg spektakla je za projekt zanimivo tudi opazovanje, kaj vse to pusti v dnevnikih.

Z vidika modre ekipe je aktivna seja v Metasploitu le vrh ledene gore.Resnično dragoceno je, da se obrnete na Splunk, filtrirate po gostitelju žrtve in preučite, kateri dogodki so bili ustvarjeni: ustvarjanje sumljivih procesov, povezave z nenavadnimi vrati, pisanje na določene poti, morebitne spremembe vztrajnosti itd. Tam se naučite pretvarjati tehnični napad v zaznavne signale.

Zaznavanje, analiza in opozarjanje na napade v Splunku

Ko je okolje sposobno zaznati napad, je čas za delo na obrambni strani.Splunk tukaj postane nadzorna plošča, s katere analizirate vdor in se odločate, kako konfigurirati uporabna opozorila za okolje malih in srednje velikih podjetij.

Začnite s preprostim iskanjem po dnevnikih, ustvarjenih med napadom.Procesi, zagnani ob približnem času, odhodne povezave iz ogroženega računalnika, dogodki Sysmon z neznanimi zgoščenimi vrednostmi itd. Postopoma boste prepoznali vzorce, ki se ponavljajo vsakič, ko izvedete isti koristni bremen.

S temi jasnimi vzorci lahko v Splunku ustvarite pravila zaznavanja ki se sprožijo, ko se pojavijo določeni kazalniki kompromitacije, kot so binarna datoteka, izvedena iz začasne mape, odhodna povezava z nenavadnimi vrati ali ustvarjanje verižnih procesov na nenavaden način na standardni delovni postaji.

Poleg čistih opozoril je zelo koristno izdelati tudi posebne nadzorne plošče Za vaš laboratorij: logični omrežni zemljevidi, seznami gostiteljev z najbolj sumljivimi dogodki, časovno omejeni grafi anomalnih dejavnosti itd. Tudi če je okolje majhno, vam bo razmišljanje, kot da bi načrtovali nadzorne plošče za resnično podjetje, pomagalo bolje predstaviti projekt kot rešitev za mala in srednje velika podjetja.

Reševanje pogostih problemov v laboratoriju

V tovrstnih simulacijskih okoljih je povsem normalno, da se na začetku "ne zgodi nič".Tovor se ne povezuje, Metasploit ne prejema sej, Splunk ne vidi nobenih dogodkov ali pa se Sysmon zdi tih. Prav zato je smiselno v svoj projekt vključiti dobro razvit razdelek za odpravljanje težav.

Če se koristni tovor ne prijavi s KaliObičajni osumljenci so omrežni parametri: napačen IP-naslov, napačno konfiguriran LHOST/LPORT ali napačna izbira vrste vmesnika na navideznem računalniku (NAT, most, notranje omrežje). Preverite tudi, ali požarni zid blokira vrata poslušalca ali ali je Windows Defender izvedljive datoteke dal v karanteno.

Ko je težava v vidnosti dnevnikaTo je običajno posledica nepopolne konfiguracije Sysmona ali ker Splunk ne prejema dogodkov iz pravilnega vira. Preverjanje, ali storitev Sysmon deluje, ali je konfiguracijska datoteka XML veljavna in ali podatkovni vnosi v Splunku kažejo na pravilen kanal dogodkov sistema Windows, običajno reši večino primerov.

Druga tipična napaka v kompleksnih laboratorijih je povezana z delovanjemPreveč virtualnih strojev za razpoložljivi RAM. V teh primerih je najbolje določiti prioritete: morda boste lahko zaustavili nekatere pomožne stroje, zmanjšali pomnilnik manj kritičnih ali celo razdelili v dva scenarija (enega osredotočenega na napad in drugega na spremljanje), odvisno od potreb posamezne vaje.

Razširitve in izboljšave: na poti do okolja CTEM za mala in srednje velika podjetja

Ko obvladate osnovno nastavitev Kali + Windows + SplunkNaslednja raven je, da simulator napadov na domače omrežje razvijete v nekaj bližje programu za nenehno upravljanje izpostavljenosti grožnjam, znanemu kot CTEM (Continuous Threat Exposure Management).

Ideja CTEM-a je preseči zgolj "začnem napad in pogledam dnevnike"., da preidete na sistematičen cikel, v katerem ocenite površino napadov organizacije (tudi če je simulirana), določite prednost grožnjam z največjim vplivom, avtomatizirate testiranje in nenehno prilagajate obrambo glede na to, kako se obnašajo resnični napadi.

V praksi se to lahko prevede v integracijo drugih platform za analizo dnevnikov. kot so ELK Stack (Elasticsearch, Logstash, Kibana) za bolj prilagojene nadzorne plošče ali vključitev Wazuh kot odprtokodne SIEM/EDR za dodajanje dodatnih korelacijskih zmogljivosti, lahkih agentov na končnih točkah in pravil zaznavanja, ki jih vzdržuje skupnost.

Drug naraven korak je avtomatizacija napadov z uporabo skript v Pythonu ali drugih jezikih. ki izvajajo vnaprej določene zaporedja tehnik MITRE ATT&CK, tako da lahko zaženete ponavljajoče se testne »kampanje« in merite, kako se vaša zaznavanja sčasoma izboljšujejo (ali slabšajo). To vaš laboratorij precej bolj približa modelu prakse, ki ga uporabljajo napredne organizacije.

Napredni paketi za simulacijo interneta v zaprtih omrežjih

V zahtevnejših okoljih, kot so okolja vladnih agencij ali velikih podjetijKoncept simulatorjev napadov gre še korak dlje in znotraj popolnoma izoliranih omrežij gradi prave "lažne internete". Ideja je dati študentom občutek navigacije, napadanja in obrambe v globalnem omrežju, ne da bi pri tem zapustili nadzorovano okolje.

To se doseže z uporabo posebnih orodij, ki so jih razvile ekipe za raziskave in razvoj. V kibernetski varnosti je cilj doseči realizem, učinkovitost in zmanjšanje stroškov pri ustvarjanju simulacij. Te rešitve so običajno sestavljene iz več komponent, ki skupaj dajejo vtis živega ekosistema s tisoči storitev, uporabnikov in raznolikim prometom.

Tudi če vaš projekt MSP ne mora doseči te stopnje kompleksnostiPoznavanje teh orodij vam pomaga, da se navdihnete in upravičite zasnovo svojega laboratorija kot majhno različico tega, kar se na veliki ravni izvaja v svetu usposabljanja za kibernetsko varnost.

TopGen: simulacija več storitev iz enega gostitelja

TopGen je simulator aplikacijskih storitev, zasnovan za vadbena omrežja brez povezave.Omogoča vam gostovanje množice storitev na ravni aplikacij, kot so spletna mesta HTTP, domene DNS ali virtualni poštni strežniki, vsak s svojo specifično konfiguracijo, na enem samem računalniku (fizičnem ali virtualnem).

Ključ do TopGena je, da vmesniku povratne zanke dodeli veliko število edinstvenih IP-naslovov. od gostitelja, tako da se vsaka simulirana storitev odziva, kot da bi bila drug strežnik v omrežju. Usmerjanje in konfiguracija demona storitve zagotavljata, da promet odjemalcev doseže pravilen cilj in da se odgovori pošljejo z ustreznim naslovom IP.

Navdih za ta pristop bi lahko našli v simulatorju za mala in srednje velika podjetja. poustvariti več notranjih strežnikov (spletno mesto podjetja, poštni strežnik, portal za zaposlene) z uporabo manj fizičnih virov, hkrati pa ohraniti iluzijo korporativne infrastrukture z veliko različnimi sredstvi.

To močno obogati vaje napada in obrambeker ima napadalec več potencialnih tarč in mora branilec upravljati večjo raznolikost dnevnikov, potrdil, konfiguracij in potencialnih vstopnih točk.

GreyBox: Emulacija internetne hrbtenice v enem samem virtualnem stroju

GreyBox je virtualni stroj, zasnovan za popolno emulacijo internetne hrbtenice. v izoliranih okoljih. Vključuje simulirano povezljivost za stotine spletnih mest, poštnih strežnikov, kriptovalutnih okolij in drugih storitev, ki vse delujejo v vsebnikih Linux.

Poleg aplikacijskih storitev GreyBox emulira tudi samo internetno infrastrukturo., s korenskimi strežniki DNS in domen najvišje ravni (TLD), delujočo storitvijo WHOIS in spletnim oblakom prve stopnje z naslovi IP in avtonomnimi sistemi, ki spominjajo na resnični svet.

Ena najbolj zanimivih podrobnosti je, da veliko vključenih spletnih mest Gre za kopije naslovnic tisočih resničnih spletnih mest, zaradi česar je izkušnja brskanja v simulatorju zelo podobna izkušnji brskanja po internetu, čeprav je vse dejansko v vašem laboratoriju.

Čeprav morda ne boste potrebovali celotnega GreyBoxa za svoj projektDa, lahko bi razmislili o opremljanju svojega laboratorija z nekaterimi dodatnimi storitvami (različnimi internimi spletnimi mesti, simuliranimi zunanjimi psevdostoritvami), zaradi katerih bi bili testi lažnega predstavljanja, brskanja ali analize prometa bolj verodostojni za uporabnike, ki sodelujejo v vaji.

DUHOVI: Sintetični uporabniki in realističen promet

GHOSTS je ogrodje, zasnovano za ustvarjanje »sintetičnih uporabnikov« v učni mrežiNamesto preprostega ustvarjanja umetnega prometa si prizadeva simulirati vedenje resničnih ljudi, ki uporabljajo računalnike: brskanje, pošiljanje e-pošte, izvajanje ukazov, delo z dokumenti itd.

Ti virtualni liki lahko prevzamejo različne vloge.Od skrbnih administratorjev do zlonamernih notranjih oseb ali neprevidnih uporabnikov, ki delajo varnostne napake, je zanimivo, da njihova dejanja ustvarjajo promet in dogodke, ki so videti povsem človeški in niso neposredno povezani s samo programsko opremo GHOSTS.

V simulator napadov na domače omrežje vnesite podoben koncept. (Tudi pri preprostih skriptih, ki občasno odpirajo spletna mesta, pošiljajo e-pošto ali kopirajo datoteke), to pomeni, da se napadi ne dogajajo v omrežni »praznini«, temveč sredi legitimne dejavnosti. Zaradi tega je odkrivanje nekoliko bolj zapleteno in bolj podobno tistemu, kar se dogaja v resničnem malem ali srednje velikem podjetju.

Poleg tega GHOSTS omogoča orkestracijo prijaznega, sovražnega in naključnega vedenja.To odpira vrata kompleksnim vajam na področju notranjih groženj, odzivanja na več incidentov ali obvladovanja lažnih alarmov, vse v nadzorovanem okolju.

vTunnel: upravljanje prometa zunaj vidnega polja

Na velikih dogodkih je vedno promet v zakulisju. To vključuje telemetrijo, točkovanje, ukaze za orkestracijo in druge nevidne niti, ki omogočajo delovanje simulatorja. Če udeleženci vidijo ta promet, to prekine urok in ga je mogoče zamenjati za zlonamerno dejavnost.

vTunnel je posebej zasnovan za skrivanje tega administrativnega prometa. To ustvari tunelski kanal, ki odstrani te komunikacije iz igralnega prostora. Promet se vbrizgava in ekstrahira iz virtualnih strojev prek hipervizorja, zato ga igralci ne morejo videti s standardnimi orodji za spremljanje omrežja.

V majhnem laboratoriju je morda dovolj, da fizično ločite upravljalna omrežjaVendar pa je koncept nevidne nadzorne ravnine lahko uporaben. Na primer za zbiranje metrik iz vaših virtualnih strojev, nadzor skript za avtomatizacijo ali upravljanje sintetičnih uporabnikov, ne da bi pri tem onesnažili podatke, ki jih analizirajo branilci.

Ta pristop pomaga zagotoviti, da se vaje osredotočajo na resnično relevanten promet. za primer uporabe, ki ga želite prikazati (napadi, brskanje, e-pošta itd.), s čimer se zmanjša šum in prepreči, da bi študenti izgubljali čas z analizo čistih infrastrukturnih paketov simulatorja.

WELLE-D: Napredna simulacija omrežja Wi-Fi

Še en zanimiv kos v tej vrsti apartmaja je WELLE-Dkaterega cilj je ponuditi popolno emulacijo omrežij Wi-Fi v virtualnih okoljih, ne da bi oddajali en sam dejanski radijski signal, kar je še posebej uporabno na tajnih območjih, kjer je uporaba brezžičnih naprav prepovedana.

WELLE-D ustvarja virtualne brezžične vmesnike, ki generirajo prave okvirje 802.11Vendar jih enkapsulira prek skritih kanalov, tako da se ne pojavijo kot običajni ethernetni promet. Z vidika orodij za nadzor Wi-Fi se zdi, da komunicirate z legitimnim brezžičnim omrežjem, čeprav se v resnici vse dogaja znotraj strežnika za virtualizacijo.

To študentom omogoča vadbo napadov in obrambe v brezžičnih omrežjih. na popolnoma varen način in brez poseganja v fizično okolje, z uporabo enakih orodij, kot bi jih uporabili pri resničnem pregledu: zajem okvirjev, vbrizgavanje paketov, napadi na protokole za preverjanje pristnosti itd.

V kontekstu simuliranega malega ali srednjega podjetja bi lahko vključili idejo virtualnih omrežij Wi-Fi. izpolnjevati vlogo tipičnega omrežja za goste ali notranjega brezžičnega omrežja pisarne, in s tem vključevati napade, kot so razbijanje gesel, lažne dostopne točke ali lateralno premikanje z ogrožene dostopne točke.

TopoMojo: Gradnja in ponovna uporaba laboratorijev

Končno je TopoMojo spletna aplikacija, katere cilj je poenostaviti ustvarjanje in uvajanje virtualnih laboratorijev.Deluje kot nekakšna "knjižnica topologije", iz katere lahko oblikujete, shranite in zaženete celotna okolja za usposabljanje.

TopoMojo ima dve glavni plati: plat igralca in plat ustvarjalca vsebine.Igralec se pomika po razpoložljivih laboratorijih, jih zažene in dostopa do naprav, da dokonča cilje vaje. Ustvarjalec oblikuje topologije, definira omrežja, število gostiteljev, osnovne slike in potrebne povezave.

Filozofija, ki stoji za TopoMojo, se popolnoma ujema z vašim projektomZgradite simulacijsko okolje, ki ni le enkratna stvar za predstavitev, temveč platforma, ki jo lahko ponovno uporabite, delite z drugimi študenti ali sodelavci in se sčasoma razvijate z novimi scenariji napada in obrambe.

Tudi brez neposredne uporabe TopoMojo je še vedno dobra ideja dokumentirati svoj laboratorij. Kot da bi ga naložili na takšno platformo: opišite virtualne stroje, topologijo, primere uporabe in korake za zagon. To mu daje profesionalen pridih in olajša vsakomur posnemanje in učenje iz njega.

Na splošno dobro zasnovan simulator napadov na domače omrežje za mala in srednje velika podjetja Združuje tehnične vidike (virtualizacija, mreženje, Kali, Windows, Splunk, Sysmon, nadzorovano generiranje zlonamerne programske opreme) s pedagoško plastjo oblikovanja, ki jo navdihujejo ti veliki simulacijski paketi: realističen promet, sintetični uporabniki, ločitev ravnin ter možnost skaliranja in avtomatizacije. Na ta način vaš projekt preneha biti preprost testni laboratorij in postane orodje za usposabljanje in nenehno izboljševanje obrambe, ki je zelo podobno tistemu, kar resne organizacije že uporabljajo za krepitev svojih ekip za kibernetsko varnost.