Εγχειρίδιο Μπλε Ομάδας

Abstract

Η εξέλιξη της τεχνολογίας μεγάλωνε ραγδαία και για αυτόν τον λόγο υπήρχε ραγδαία αύξηση των απειλών και των επιθέσεων στον κυβερνοχώρο. Οι χρήστες με κακόβουλη πρόθεση, άρχισαν να χρησιμοποιούν εξελιγμένα εργαλεία και τεχνολογίες, έτσι ώστε να εκτελέσουν στοχευμένες επιθέσεις με πιο γρήγορο ρυθμό ή για να συλλέξουν τεράστιο όγκο δεδομένων ή να προκαλέσουν μεγαλύτερη ζημία σε έναν οργανισμό.Για την άμυνα αυτών των επιθέσεων έχουν αναπτυχθεί ήδη εργαλεία και τεχνολογίες. Για την άμυνα των επιθέσεων άλλα και για την αποφυγή των καταστροφών δημιουργήθηκε το πρώτο SOC το 1975 και λειτουργούσε κυρίως για την άμυνα των οργανισμών και για κυβερνητικές υπηρεσίες. Καθώς το διαδίκτυο και η τεχνολογία εξελίχθηκε, ιοί ξεκίνησαν να εισβάλλουν στα πληροφοριακά συστήματα και οι ανάγκες για ανίχνευση εισβολών και απειλών αυξήθηκαν. Το 1996 η δεύτερα γενιά SOC ικανοποίησε αυτήν την ανάγκη. Οι hackers συνέχισαν να βελτιώνουν τις μεθοδολογίες επίθεσης και άρχισαν να πραγματοποιούν Denial of Services επιθέσεις χρησιμοποιώντας Bots και botnets μέχρι που το SOC εξελίχθηκε και απέκτησε την ικανότητα πρόληψης. Οι επιτιθέμενοι άλλαξαν την μεθοδολογία και τις στρατηγικές τους και οι επιθέσεις που πραγματοποιήσουν θα παρέμειναν μη ανιχνεύσιμες από την υποδομή ασφάλειας ενός οργανισμού.Οι επιθέσεις του συγκεκριμένου τύπου ονομάζονται επίμονες(persistent). Το SOC διαθέτοντας τεχνολογίες APT (Advance persistence threat detection technologies) όπου τις απέκτησε το 2007 πραγματοποίησε μια άνοδο ως προς την πρόληψη και ανίχνευση των μη ανιχνεύσιμων επιθέσεων. Η τρίτη γενιά του SOC όπου ξεκίνησε με την τεχνολογία του APT, διέθετε ένα σημαντικό εργαλείο τεχνολογίας, το SIEM (Security Incidents and Event Management). Το SIEM συλλέγει αρχεία καταγραφών από πηγές, δημιουργεί ειδοποιήσεις σύμφωνα με κανόνες και σε γενικές γραμμές ευθύνεται για την διαχείριση των incidents και των event. Με το εργαλείο αυτό οι αναλυτές πραγματοποιούν ανάλυση και ανίχνευση για events και incident σε πραγματικό χρόνο. Το 2013, οι ειδήμονες της ασφάλειας, συνειδητοποίησαν ότι με την προσθήκη feeds από threat intelligence με συνδυασμό της heuristic ανάλυσης του SIEM, θα υπάρξει έγκυρη ενημέρωση από παραβίαση ασφάλειας στην υποδομή του οργανισμού η ακόμα σε ένα σύστημα.