Los ejercicios ofensivos y defensivos de los últimos años han demostrado que los atacantes se están volviendo cada vez más sutiles en sus métodos, y a menudo utilizan vulnerabilidades 0Day y NDay para invadir rápidamente los sistemas objetivo y obtener el control. Este ataque encubierto trae grandes dificultades al trabajo del defensor. Contrariamente a la intención del atacante de ocultar rastros y evitar el descubrimiento tanto como sea posible, el defensor necesita descubrir rastros de ataque lo antes posible y establecer una seguridad integral analizando los rastros de ataque, ajustando las estrategias de defensa, rastreando rutas de ataque e incluso contrarrestando fuentes de ataque sospechosas. El sistema de monitoreo es el arma defensiva más poderosa del defensor
El monitoreo de la seguridad de la red es el proceso de observar continuamente lo que sucede en la red del usuario, con el propósito de monitorear posibles amenazas a la red y detectar tempranamente el riesgo de . intrusión en el sistema. El monitoreo de seguridad puede entenderse como el "denunciante" en la industria de la seguridad de la red. Emite una alarma cuando se detecta un ataque a la red, ayuda a los usuarios a responder antes de causar daños graves, detecta y gestiona amenazas potenciales de manera oportuna y ayuda a proteger a los usuarios. Aplicaciones empresariales, datos y toda la red
El trabajo de monitoreo de seguridad generalmente debe incluir los siguientes aspectos:
A diferencia de las pruebas de penetración tradicionales, el equipo rojo en los ejercicios ofensivos y defensivos sigue completamente los atacantes piensan, lanzan ataques de red de alta intensidad y alto nivel, centrándose en atacar y exponer las vulnerabilidades de seguridad de la red. Por ello, para el equipo azul, el seguimiento es un paso crucial para poder detectar ataques a tiempo. Si bien las técnicas de seguridad preventiva abordan amenazas conocidas basadas en firmas, los equipos azules aún necesitan monitoreo de seguridad de la red para identificar amenazas más sofisticadas, lo que puede ayudar a los equipos azules a:
Los ciberataques pueden ocurrir cuando menos lo esperan. Cuando ocurren eventos inesperados, Los usuarios deben controlar y remediar las amenazas tan pronto como las detecten. El monitoreo continuo de la seguridad de la red permite a los usuarios responder a los ataques antes de que causen daños generalizados.
A medida que la situación de seguridad de la red cambia constantemente, surgen uno tras otro nuevos tipos de ataques. Por lo tanto, los defensores no pueden confiar únicamente en los valores característicos de las amenazas conocidas para la protección de la seguridad. Necesitan descubrir nuevas amenazas desconocidas, como los ataques de día 0, basándose en el seguimiento del tráfico y los rastros de comportamiento anormal en el host.
En ejercicios ofensivos y defensivos, los atacantes a menudo ingresan a la intranet a través de una determinada vulnerabilidad, luego se mueven lateralmente y finalmente capturan el sistema objetivo. En este caso, a través del monitoreo de la seguridad de la red, los usuarios pueden descubrir y evitar rápidamente que los atacantes se muevan dentro de la intranet. El monitoreo de seguridad detecta automáticamente cualquier actividad inusual en la red de un usuario y evita que se propague a otras áreas y cause daños generalizados.
GB/T 24363-2009 Tecnología de seguridad de la información Especificación del plan de respuesta a emergencias de seguridad de la información
Qingteng Cloud Security 2022 Ejercicio ofensivo y de defensa Guía de defensa del Blue Team
Weibu Online Informe anual de respuesta a emergencias de seguridad de 2019