تیم قرمز(Red Team): مجموعه اقداماتی که جهت شناسایی نقاط ضعف و قوت یک شرکت از دید امنیت صورت می گیرد. در این تیم استفاده از TTP های متنوع و انجام حملات مرتبط با آن انجام می گیرد. هدف اصلی این تیم آموزش و ارزیابی میزان مقاومت سازمان می باشد.
تیم بنفش(Purple Team): تیمی متشکل از هر دو تیم به منظور اشتراک دانش و هم افزایی توانمندی در دفاع سایبری.
هدف این مطالب BlueTeam است و مطالب بیشتر در مورد RedTeam و Purple Team در مباحث بعدی ارائه می شوند.

Red Team: a set of activity that are taken to identify the weaknesses and strengths of a company from the security point of view. In this team, various TTPs are used and related attacks are carried out. The main goal of this team is training and evaluating the level of resistance of the organization.
Purple Team: A team consisting of both teams to share knowledge and synergize capabilities in cyber defense.
The purpose of this content is BlueTeam, and more content about RedTeam and Purple Team will be provided in the next topics.

#SOC
#BlueTeam

t.me/ICTlive

واقعیت اول:
امنیت صددرصد نیست و آلودگی در حوزه کاری قطعا اتفاق خواهد افتاد. سوال اینجاست که چطور این آلودگی اتفاق می افتد:

· مهاجم وارد محیط کاری شده و شناسایی می شود و نمی تواند هدف خود را دنبال کند.
· مهاجم شناسایی نمی شود و آزادانه فعالیت خود را گسترش می دهد.

لزوما همه حملات شناسایی و بلاک نمی شوند. اینجاست که یک SOC خوب می تواند نقش خود را ایفا کند. هر چقدر این مرکز عملیات امنیت از بلوغ بهره برده باشد، شناسایی و دفع خطر محتمل تر است.

نکته: باید گفت مهمترین هدف یک مرکز عملیات امنیت شناسایی و دفع خطر( تا کاهش اثر حمله) می باشد.

واقعیت دوم:
از نگاه یک مدیر پروژه امنیت باید در نظر داشت که سازمان ها و شرکت ها صرفا برای امن شدن فعالیت نمی کنند. (مگر آنکه فعالیت آنها امنیت باشد). به طور مشخص، هدف اصلی سازمان ها فعالیت مربوط به خود است و در اغلب موارد سیاست های شرکت با پروژه های امنیت تداخل داشته و کمی کار گره می خورد. اینجاست که بلوغ یک مدیر پروژه در تعریف و ارائه مرکز عملیات امنیت می تواند همه فرایند ها را همسو با امنیت اطلاعات کند. (البته چیزی که شاهد آن هستیم مغایر با این تعریف است و کارفرما هر سیاستی داشته باشد، بدون بررسی کافی از سمت تیم های امنیت پذیرفته و امنیت فدای تصمیمات کارفرما و محافظه کاری می شود).



First fact:

Security is not 100% and pollution in the work area will definitely happen. The question is how this pollution happens:

• The attacker enters the work environment and is detected and cannot pursue his goal.
• The attacker is not detected and spreads his activity freely.

Not all attacks are necessarily detected and blocked. This is where a good SOC can play its role. The more mature this security operations center is, the more likely it is to detect and eliminate threats.

Note: It should be said that the most important goal of a security operation center is to detect and eliminate the risk (to reduce the effect of the attack).

Second fact:
From the point of view of a security project manager, it should be kept in mind that organizations and companies do not work just to be safe. (unless their activity is security). Specifically, the main goal of organizations is their own activities, and in most cases, company policies interfere with security projects and a bit of work is tied up. This is where the maturity of a project manager in defining and providing a security operations center can align all processes with information security. (Of course, what we are witnessing is contrary to this definition, and whatever policy the employer has, it is accepted without sufficient investigation by the security teams, and security is sacrificed to the employer's decisions and conservatism).

#SOC
#BlueTeam

t.me/ICTlive

انواع روش مقابله مدرن به شرح زیر است:
•همیشه در نظر بگیریم که بیزینس در خطر است.
•دفاع سایبری می بایست مبتنی بر شناسایی دقیق باشد.
•همیشه شناسایی اولیه بسیار مهم تلقی شده و استفاده از Threat hunting توصیه می شود.
•تمرکز بر post-exploitations ها در دستور کار تیم قرار گیرد.
•پاسخگویی به حادثه با برنامه ریزی قبلی(انجام مانور) و به صورت اصولی صورت گیرد تا از تکرار مکررات جلوگیری شود.
•شناسایی انواع ریسک در سازمان و بررسی آن به همراه کار فرما جهت اطلاع.

Types of modern defense methods are as follows:
• Always keep in mind that business is at risk.
• Cyber defense must be based on accurate detection.
• Early detection is always considered very important and the use of Threat hunting is recommended.
• Focusing on post-exploitations should be on the team's agenda.
• Responding to the incident with prior planning (maneuver) and principles to prevent repetition.
• Identifying the types of risk in the organization and examining it together with the employer to obtain information.

#SOC
#BlueTeam

t.me/ICTlive

در یک SOC بالغ، ایده آل ترین کار جلوگیری از حمله می باشد ولی با توجه به اینکه این مهم همیشگی نیست و رخ نخواهد داد، پس بهترین کار می تواند حداقل شناسایی خوب و دقیق و جامع باشد.

در تصویر زیر یک چرخه مهم که در SOC انجام می شود را میبینیم. بهترین راهی که زمان رسیدگی را کمتر و نتیجه گیری را دقیق تر می کند، شناسایی درست می باشد. باید در نظر داشت بیشترین زمان صرف شده در مرحله تریاژ و تحلیل می باشد.


In a mature SOC, the most ideal task is to prevent an attack, but given that this will not always happen, the best task can at least be good, accurate and comprehensive detection.


In the picture above, we see an important cycle that takes place in SOC. The best way to reduce the processing time and make the conclusion more accurate is correct detection. It should be kept in mind that the most time spent is in the triage and investigation stage.

#SOC
#BlueTeam

t.me/ICTlive

چهار سوال اصلی حول مرکز SOC:
•از چه چیزی محافظت می کنیم: داده، افراد، فرایند ها و روند کاری سازمان.
•تهدید چیست: هر نوع موجودیتی که امنیت مجموعه را به خطر بیاندازد.(البته در مدیریت ریسک طوری دیگر بیان می شود). مانند: هکر های مبتدی، Hacktivist ها، مهاجمان دولتی، عامل نفوذی و .. .
•چطور تهدیدات را شناسایی کنیم: جمع آوری کامل از داده در شبکه و Endpoint ها(غالبا این امکان میسر نمی شود که تمام log شبکه و زیرساخت را جمع آوری کرد. مگر اینکه منابع کافی و دانش کافی وجود داشته باشد)، مانیتورینگ قوی و تحلیل درست.
•چطور به رخداد فعال شده پاسخ دهیم: استفاده از ابزار های خودکار و ارتباطی که در این مورد به طور کامل صحبت خواهیم کرد.

Four main questions about SOC:
What we protect: data, people, processes and organizational workflows.
What is a threat: any factor that endangers the security of the organization. (Of course, it is expressed in a different way in risk management). Such as: novice hackers, hacktivists, government attackers, infiltrators, etc.
How to detect threats: Complete data collection on network and endpoints (collecting all network and infrastructure logs is often not possible unless sufficient resources and knowledge are available), strong monitoring and appropriate analysis.
How to respond to the created incident: using automation and communication tools that we will discuss in detail.

#SOC
#BlueTeam

t.me/ICTlive

مطابقت سرویس های SOC و سیاست های سازمان:
•صحبت های مستقیم و شفاف با هیئت مدیره
•بررسی سرویس اصلی سازمان
•هدف اصلی سازمان در بیزینس و برقراری امنیت در آن
•حوزه کاری SOC(به عبارتی Scop پروژه چقدر خواهد بود).
نکته: در هر سازمانی با وجود یک مرکز SOC حتما ایجاد کمیته ای جهت 1-شناسایی ریسک و دغدغه های بیزینس شرکت و 2- ارائه توانمندی ها و فواید SOC برای بیزینس سازمان صورت می گیرد.

Compatibility of SOC services and organization policies:
• Direct conversations with the board of directors.
• Checking the organization's main service.
• The main goal of the organization in business and establishing security in it.
• SOC scope of work (how much will the scope of the project be).

Note: In every organization with a SOC center, a committee will be created to 1-identify the risks and concerns of the company's business and 2-present the capabilities and benefits of SOC for the organization's business.

#SOC
#BluteTeam

t.me/ictlive

چطور از میزان تمایل کارفرما در جهت ریسک پذیری برای انجام فعالیت های امور امنیت اطلاع کسب کنیم؟
•همیشه قدم اول را باید در نظر گرفت که هدف اصلی سازمان ها برقراری امنیت نیست.
•امنیت کجا بیشترین اهمیت را دارد؟ سازمان های دولتی و نظامی اولویت بالا | استارت آپ ها اولویت کمتر.
•بهترین راه شناسایی ریسک می تواند داشتن گزارش ریسک و یا بیانیه ریسک پذیری از سمت کارفرما باشد تا بتوان راحت تر روی میزان ریسک و ریسک پذیری سازمان صحبت کرد.
•در صورت نداشتن گزارش ریسک پذیری، وجود یک تیم بالغ به عنوان مشاور در تمامی موارد از قبیل مدیریت، اعمال سیاست ها و ... می تواند در ارزیابی ریسک پذیری برای برقرای مرکز عملبات امنیت مفید باشد.

How to find out about the employer's willingness to Risk Appetite for security activities?
• The first step should always be considered that the main goal of organizations is not to establish security.
• Where is security most important? High priority for government and military organizations and lower priority for Startups.
• The best way to identify risk is to have a risk report or a statement of risk tolerance from the employer so that it is easier to talk about the level of risk and risk tolerance of the organization.
• If there is no risk report, the presence of a mature team as a consultant in all matters such as management, policy implementation, etc. can be useful in assessing risk for the implementation of the security operations center.

#SOC
#BlueTeam

t.me/ICTlive

برگزاری جلسات برای بررسی ریسک:
•در مرحله اول بیزینس را در نظر بگیرید.(اگر نشت اطلاعاتی صورت گیرد، چقدر متوجه سازمان می شود؟ و یا بدترین اتفاقی که برای آن سازمان و بیزینس مربوطه می تواند اتفاق بیفتد چیست؟)
•اگر سازمان نیاز به امنیت در سطوح بالا دارد: استفاده از لیست سفید، ایزوله سازی، airgap، محدود کردن سرویس های حیاتی اینترنت و ایمیل.
•اگر سازمان نیاز به امنیت سطح پایین تر دارد: استفاده از AV و IDS و ... .
•البته بیان بالا به این معنی نیست که در امنیت سطح بالا از AV و .. استفاده نمی شود و بالعکس.
•هدف جلسات: پیدا کردن راهی برای برقراری امنیت به طوری که با سیاست های شرکت تداخل نداشته باشد(یا کمترین تداخل).
•در پایان، گرفتن اطلاعات مناسب و کافی یکی از موثرترین راه ها برای ارزیابی ریسک جهت برقراری سرویس امنیت می باشد.

Holding meetings to Risk Assessment:
•Consider business first. (If there is an information leakage, how much will it affect the organization? Or what is the worst thing that can happen to that organization and the business concerned?)
•If the organization needs security at high levels: using whitelist, isolation, airgap, restricting critical services such as internet and e-mail.
•If the organization needs a lower level of security: using AV and IDS, etc.
•Of course, the above statement does not mean that AV and etc. are not used in high-level security, and vice versa.
•The purpose of the meetings: to find a way to establish security so that it does not interfere with company policies (or minimal interference).
•In the end, getting appropriate and sufficient information is one of the most effective ways to assess the risk to establish a security service.

#SOC
#BlueTeam

t.me/ICTlive

مهمترین رکن مرکز SOC:

مهمترین رکن یک مرکز عملیات امنیت نیروی انسانی آن می باشد. (People) که با فاکتور های زیر می تواند بهترین بلوغ را برای یک مرکز SOC فراهم آورد:
•نیروی علاقه مند و جویای علم در حوزه کاری.
•تجربه کار در حوزه IT.
•دانش گسترده و دانش عمیق در زمینه ای خاص( T-shaped People)
•توانایی تحلیل، اسکریپت نویسی، خودکاری سازی فعالیت ها و مهارت در گزارش نویسی.
•کیفیت کاری بالا در امور محوله ( استعداد باعث جذب استعداد می شود)

The most important pillar of the SOC:

•The most important pillar of a security operation center is its people. (People), which can provide the best maturity for a SOC center with the following factors:
•People who are interested and seek knowledge in the field of work.
•Work experience in the field of IT.
•Extensive knowledge and deep knowledge in a specific field (T-shaped people)
•Ability to analyze, scripting, automate activities and reporting skills.
•High work quality in assigned tasks(talent, attracts talent).

#SOC
#BlueTeam

t.me/ICTlive

نقش های یک مرکز SOC:
نقش هایی که افراد می توانند در یک مرکز SOC فعالیت کنند می تواند مجموعه ای از تخصص ها به شرح زیر باشد:

•تحلیلگر رخداد: رسیدگی، تریاژ و پاسخگویی (در سطوح مختلف دسته بندی می شوند Tier)
•تحلیلگر هوش تهدید: جمع آوری استراتژی ها و تاکتیک های مهاجم و بررسی آن ها.
•مهندس زیرساخت: طراحی و راه اندازی زیر ساخت SOC.
•ادمین سیستم: مراقب و نگه داری از ابزار های مرکز SOC.
•مدیر SOC: مسئول پروژه (SOC Lead)
•رهبر رخداد (Incident Lead): هماهنگ کننده و اشراف کامل به رخداد.

SOC Roles :

The roles that people can perform in a SOC can be a set of specializations as follows:
•Incident analyst: handling, triage and response (categorized at different levels, Tier)
•Threat intelligence analyst: collect attacker strategies and tactics and analyze them.
•Infrastructure Engineer: SOC infrastructure design and operation.
•System admin: Care and maintenance of SOC tools.
•SOC Manager: Project Manager (SOC Lead).
•Incident Lead: The coordinator and leader of the incident.

#SOC
#BlueTeam

t.me/ICTlive

انواع Tier برای مراکز SOC:
سطح T1: به طور مداوم در حال یادگیری روش های شناسایی و تکنیک حمله، ایجاد تیکت و تحلیل اولیه.
سطح T2: در حال افزایش توانمندی موجود، خنثی سازی حملات و تحلیل ثانویه و عمیق تر.
سطح T3: وظایف کمتر ولی پیچیده تر. شامل شکار تهدید و استفاده از متد های تحلیل عمیق.
هر چقدر از T1 به سمت T3 پیش می رویم، میزان دسترسی در مجموعه بیشتر و آزادی عمل بیشتری برای کاربر وجود دارد. از این رو دو نوع SOC از لحاظ سطح بندی را بیان می کنیم:
Tiered SOC: یک مرکز عملیات امنیت با سطح بندی:
• نقش ها کاملا مشخص است.
• فرایند ها ساختارمند هستند.
• آزادی کمتر در استفاده از تمامی ابزار ها.
• یادگیری کمتر
• وجود کارهای تکراری در سطوح پایین.

Tierless SOC: یک مرکز عملیات امنیت بدون سطح بندی:
• همه با هم برای رسیدگی به رخداد فعالیت دارند.(با حفظ رسیدگی به رخداد با توجه به تخصص فرد)
• آزادی کامل در استفاده از ابزار های موجود.
• یادگیری سریع است و انتقال دانش از سطوح بالا به پایین زودتر صورت می گیرد.

Tier types for SOC:
T1: Continuously learning detection methods and attack techniques, creating tickets and basic analysis.
T2: Increasing existing capabilities, neutralizing attacks, secondary incident analysis and deeper.
T3: Fewer but more complex tasks. including threat hunting and the use of deep analysis methods.
From T1 to T3, there is more access in the collection and the more freedom of action for the user. Therefore, we state two types of SOC in terms of leveling:
Tiered SOC: A Tiered Security Operations Center:
• Roles are clearly defined.
• Processes are structured.
• Less freedom in using all tools.
• Less learning.
• Existence of repetitive tasks at low levels.
Tierless SOC: A Tierless Security Operations Center:
• Everyone works together to handle the incident. (by maintaining the handling of the incident according to the individual's expertise)
• Complete freedom in using available tools.
• Learning is fast and transfer of knowledge from higher to lower levels takes place sooner.

#SOC
#BlueTeam

t.me/ICTlive

مختصری از فرایند های یک مرکز SOC به شرح زیر است:
1.جمع آوری داده
2.شناسایی تهدید
3.تریاژ و رسیدگی
4.پاسخگویی به رخداد( با حوزه CSIRT کمی متفاوت خواهد بود)
5.شکار تهدید

به طور خاص:
6.هوش تهدید
7.ارزیابی (تیم قرمز، تیم تست نفوذ و ارزیابی امنیتی آسیب پذیری)
8.جرم یابی( تحلیل بدافزار و فارنزیک دیجیتال)

A summary of the processes of a SOC is as follows:
•Data collection
•Threat detection
•Triage and processing
•Responding to the incident (it will be slightly different from the CSIRT field)
•Threat hunting

Specialty:
•Threat Intelligence
•Evaluation (red team, penetration testing team and vulnerability assessment)
•Crime detection (malware analysis and digital forensics)

#SOC
#BlueTeam

t.me/ICTlive

برخی از اطلاعات مهمی که می بایست در مورد راه اندازی مرکز SOC بدانیم:

در مورد Network Diagram: وضعیت توپولوژی شبکه.
در مورد Point of visibility: مشخص کردن پورت های Span و Full pcap .
در مورد Data flow Diagram: ترافیک در شبکه چطور به اینترنت و خارج هدایت می شود؟
در موردLog flow Digram: log های شبکه و سیستم از کجا گرفته و در کجا ذخیره می شوند؟
در مورد IR Plan: به هنگام بروز مشکل در پیاده سازی چه اقداماتی در جهت رفع آن صورت پذیرد؟
در مورد Communication Plan: به هنگام وقوع انواع رخداد، چه کسی و چگونه می باست مطلع شود؟
•در نظر گرفتن برنامه ای برای Disaster Recovery
•هر نوع فرایند، سیاست، Redline و .. باید در نظر گرفته شود.

Some important information to know about setting up a SOC:
•Network Diagram: network topology status.
•Point of visibility: specifying Span and Full pcap ports.
•Data flow diagram: How is traffic in the network directed to the Internet and outside?
•Log flow diagram: Where are the network and system logs taken from and where are they stored?
•IR Plan: When a problem occurs in the implementation, what measures should be taken to solve it?
•Communication Plan: When all kinds of events occur, who and how can be informed?
•Consider a plan for Disaster Recovery.
•Any type of process, policy, redline, etc. should be considered.

#SOC
#BlueTeam

t.me/ICTlive

گزارشات فنی مرکز SOC باید با توجه به موارد زیر تهیه شود:
یک: سیاست هایی که باید در نظر گرفت: برای مثال تمامی مجموعه ها از AV به روز برخوردار باشند.
دو: استاندارد های به روز: استفاده از استاندار های روز دنیا در این حوزه. برای مثال برای نصب سنسور (Agent) می بایست مطابق با استاندارد مرتبط با خود نصب شود.

سه: Procedures: استفاده گام به گام از دستورالعمل هایی که برای انجام یک Task ارائه شده اند.
چهار: Guideline: استفاده از دستورالعمل های پیشنهادی که در خوده مرکز SOC تهیه شده و یا در اشتراک دانش با سایر تیم ها بدست آمده است.
پنج: Base Line: استفاده از لیست های خاص مانند چک لیست نصب فلان ابزار.
شش: Playbook/ usecase: ارائه نقش ها و فعالیت ها جهت شناسایی تهدید.

Technical reports of the SOC should be prepared according to the following:

•Policies to consider: for example, all departments have up-to-date AV.
•Up-to-date standards: using the latest world standards in this field. For example, to install the sensor (Agent), it must be installed according to the standard related to it.
•Procedures: step-by-step use of the instructions provided to perform a task.
•Guideline: using suggested guidelines prepared in the SOC itself or obtained in knowledge sharing with other teams.
•Base Line: Using specific lists such as checklists for installing certain tools.
•Playbook/usecase: providing roles and activities for threat detection.

#SOC
#BlueTeam

t.me/ICTlive