اگر علاقه مند هستید که وارد حوزه بلوتیم بشید
15 گام زیر می توانند به شما دید خوبی بدند برای انتخاب اینکه به سمت تیم آبی بروید یا نه !
من تجربه در حد 5 ماه در SOC داشتم ولی همون به من کمک کرد در ردتیم
به صورت کلی بلوتیم در حوزه امنیت تدافعی عمل میکند و نقطه مقابل ردتیم هست.
گام اول درک تهدیدات تا زمانی که تکنیک هایی که در سمت #ردتیم انجام می شود را درک نکنید نمی توانید رویکرد دفاعی مناسبی داشته باشید
https://ctf.hackthebox.com/pack/blue-team-analyst-level-1
https://tryhackme.com/path/outline/blueteam
گام دوم شما باید آشنایی با بهترین روش های امن سازی داشته باشید منابع CIS را مطالعه کنید برای تمامی صنعت ها بهترین روشها ارایه شده است و همچنین بروزرسانی، سیاست پسورد امن و دادن حداقل دسترسی به همه
https://www.cisecurity.org/controls/v8
گام سوم هر چقدر شبکه ها کوچک تر بشوند و vlan بندی اصطلاحا بشود در صورت نفوذ به هر بخش امکان تاثیر گذاری روی کل سازمان حداقلی است
گام چهارم استفاده از سیستم های مانیتورینگ و تشخیص حمله
IDS سیستم تشخیص نفوذ
IPS سیستم جلوگیری از نفوذ
SIEM اطلاعات امنیتی و مدیریت رویداد
می توانید از elk security جهت تمرین استفاده کنید
گام پنجم IRP طرح واکنش به حادثه
یک طرح جامع واکنش به حادثه ایجاد کنید که رویههای واضحی را برای شناسایی، واکنش و بازیابی حوادث امنیتی مشخص میکند.
گام 6 TH یا شکار تهدید (مهم)
خیلی از تهدیدهای بالقوه در سازمان ها و حملات توسط ابزارهای اتومات قابل شناسایی نیستند و نیازمند شکار تهدید هستند. مهارت در شکار تهدید بسیار مهم هست
SOC tiers
tier 1 triage specialist
tier 2 incident response + threat intelligence
tier 3 TH
و مدیر soc
گام هفتم
اموزش به کارکنان: به طور منظم به کارکنان در مورد بهترین شیوه های امنیت سایبری و تهدیدات احتمالی مانند فیشینگ و مهندسی اجتماعی آموزش دهید.
اجرا تمرین های فیشینگ در سازمان ها
گام هشتم
پیاده سازی مدیریت آسیب پذیری داشتن همچین برنامه ای برای شناسایی آُسیب پذیری های روی دارایی های سازمان الویت بندی و آپدیت کردن آن ها خیلی مهم است
گام نهم
نظارت مستمر یا continues monitoring سازمان هایی که نظارت مستمر ندارند و توانایی کشف ناهنجاری anomalies و رفتارهای مشکوک را ندارند خیلی راحت هک می شوند
خیلی ساده وصل شدن به سرورها بعد از ساعت کاری
گام دهم
همکاری و حضور در جلسات تیم بنفش و رفع مشکلات و حملات با ارایه راه حل ها یا آپدیت رول هایی که توسط تیم قرمز بایپس شده اند
گام یازدهم
تجزیه و تحلیل شبکه: به صورت کلی باید pattern رفتار شبکه عادیتان را داشته باشید تا بتوانید رفتار مشکوک یا ناهجاری را تشخیص دهید امروزه برای این کار از ML استفاده می شود train رفتار شبکه عادی و کشف خودکار ناهنجاری
گام دوازدهم
ارزیابی امنیتی به صورت ادواری و منظم، سازمان ها باید به صورت منظم پن تست شوند چرا که آسیب پذیریهای جدیدی که بعد از ارزیابی گذشته کشف شدند هنوز به صورت بالقوه در سازمان ها وجود دارند
گام 13
هوش تهدید: راه اندازی هوش تهدید کار بسیار پیچیده ای هست و همچنین هزینه های گزافی دارد اما می توان از اطلاعاتی که شرکت های CTI می دهند جهت شناسایی تهدیدها استفاده کرد نکته مهم این است CTI feed شرکت های خارجی به درد ایران نمی خورد چون C2 ها کشف شده برای کشور اروپایی امریکایی
گام چهاردهم
داشتن برنامه برای بک اپ گیری زندگی شما را نجات می دهد و اما خود بک اپ گیری بسیار مهم است و تخصص محسوب می شود چرا که انواع مختلف و همچنین نوع ذخیره سازی بسیار مهم است
گام 15
هر سازمان خروجی منحصر به فرد دارد شیوه امن کردن سازمان ها به یک شکل نیست و با یک کتاب یک فرمول امن نمی شود باید هاردنینگ بر اساس هر سازمان انجام شود.
تیم آبی نیاز به یک رویکرد فعال و هوشیار برای دفاع در برابر تهدیدات سایبری دارد.
تیم ابی بدون همکاری با تیم قرمز موثر نیست
