این شبکه یکی از “خصمانه ترین” شبکه های جهان نامیده می شود ، اما مدیران مرکز عملیات شبکه Black Hat (NOC) معتقدند که این شبکه تنها منحصر به فرد ترین است. از این گذشته ، آنها نمی توانند تمام ترافیک شبکه های مخرب را مسدود کنند ، زیرا می توانند ناخواسته فعالیت های مشروع کلاه سیاه را مختل کنند ، مانند نسخه ی نمایشی ابزار هک روی صحنه یا تمرین دوره های آموزشی.
بارت استامپ و نیل وایلر ، معروف به گریفتر ، مشتاق هستند تا امسال به کار مدیریت و نظارت بر شبکه در محل Mandalay Bay در لاس وگاس بازگردند. NOC محصور شده توسط پلکسی گلاس برای اولین بار تاریک شد ، هنگامی که Black Hat USA در اوج همه گیری COVID-19 به یک نمایش مجازی رفت.
پس از وقفه بدون برنامه در سال 2020 ، تیم NOC امسال متشکل از بیش از دوازده داوطلب ، شبکه ای را برای نسخه کوچک شده قسمت در محل Black Hat USA ، که محرک یک رویداد فیزیکی و مجازی ترکیبی است ، اداره می کنند. در آخرین مرحله از همه گیری اکثر مربیان آموزش به صورت مجازی عمل می کنند ، به جز چند نفر که در محل حضور دارند و دوره های خود را پخش می کنند. برآورد می شود که این رویداد میزبان حدود 5000 شرکت کننده در محل باشد ، که بسیار کمتر از 20000 نفری است که سالن های ماندالای را در سال 2019 شلوغ کردند.
اما حتی با تعداد کمتری از کاربران در شبکه نمایش فیزیکی – اکثر ثبت نام کنندگان از طریق بستر مجازی Black Hat ، Swapcard حضور خواهند داشت – مدیران NOC ، Stump و Wyler می گویند کار آنها در سال جاری تفاوت چندانی نخواهد داشت: اطمینان از در دسترس بودن شبکه و تشخیص بدی در میان هک اخلاقی تجربی مشهور در شبکه.
وایلر می گوید نگرانی های اصلی آنها حملات منع سرویس یا هرگونه اختلال در شبکه است. و آنها در میان ترافیک قانونی به دنبال هرگونه فعالیت شبکه مخرب واقعی هستند.
او می گوید: “اگر ترافیکی را مشاهده کردیم که از حالت عادی خارج شده است ، می دانیم که باید فوراً به آن عمل کنیم.”
استامپ اظهار داشت: “اکثر SOC ها در حالت هشدار منفجر می شوند.” اما برای NOC کلاه سیاه ، این یک قاعده است.
متلاشی شده
هر سال در پایان Black Hat ، استامپ ، که مشاور ارشد امنیتی در Optiv است ، و وایلر ، که شکارچی اصلی تهدید در NetWitness است ، گزارشی پس از مرگ در مورد آنچه در آن هفته در شبکه پیدا کردند ، ارائه می دهند ، گفتگویی که در ابتدا انجام دادند. فکر می کرد هیچ کس حاضر نمی شود یا حتی به آن اهمیت نمی دهد. در واقع ، اولین باری که آنها ارائه خلاصه NOC خود را ارائه کردند ، در ابتدا تصور کردند که جمعیت زیادی که در اتاق حضور دارند ، شرکت کنندگان در جلسه قبلی بودند که از بازه زمانی خود گذشته بود.
و هر سال آنها چیزی به شدت مشهور در شبکه مشاهده می کنند. چند سال پیش زمانی بود که تحلیلگران NOC ترافیک مشکوک را از یکی از جلسات آموزش به وب سایت اداره پلیس ردیابی کردند. (تیم NOC ، با استفاده از اطلاعات ابزارهای امنیتی خود ، می تواند ترافیک منطقی را به نقشه مکان فیزیکی نقشه بکشد ، و ابزار آنها محل تصادف را با تصویری از سر کوکی هیولا مشخص می کند.) آنها ترافیک را به یک کلاس درس در ردیابی کردند. the Mandalay Bay – و به دانش آموزی در یکی از جلسات آموزش Black Hat که ظاهراً تصمیم گرفته بود دانش جدید وب خود را در مورد حمله به وب سایت اداره پلیس شهر خود با استفاده از ابزارهای مختلف از جمله ZAP OWASP (Zed Access Proxy) ، که وب را اسکن می کند ، به کار گیرد. برنامه هایی برای آسیب پذیری ها و اغلب در آزمایش نفوذ استفاده می شود.
وایلر به یاد می آورد: “ما نشسته بودیم و مشغول شکار چیزها بودیم و شاهد ترافیک عجیبی بودیم که به وب سایت حومه پلیس می رفت.” ‘[We realized] این یک نسخه نمایشی نیست – این کسی است که به آن حمله می کند … زیرا آنها در حملات وب چیزهای جدیدی آموخته بودند. “
در سال 2017 ، این تیم برخی دیگر از ترافیک های “سایه دار” را در شبکه بررسی کردند.
“[It] وایلر به یاد می آورد که کسی از آسیب پذیری که از مرحله بحث شده بود استفاده می کرد ، مانند 12 ساعت قبل. “ما شخصی را می دیدیم که برای [the vulnerability] و فعالانه در تلاش بود تا از این امر سوء استفاده کند. “
معلوم شد فردی که با vuln درگیر شده است در حال استفاده از آن در تروجان Emotet است. این میزان تغییر از افشای آسیب پذیری به یک سوء استفاده نشان دهنده چالشی است که مشاغل و فروشندگان امنیتی مرتبا با آن روبرو هستند: مهاجمان به زمان زیادی برای یافتن راه هایی برای سوء استفاده از اشکال نرم افزار نیاز ندارند.
وایلر می گوید: “اینها مواردی است که ما به عنوان یک صنعت امنیتی با آن روبرو هستیم.”
امسال در Black Hat ، تنها “نگرانی” وایلر – و او نقل قول های هوایی را در اطراف کلمه قرار می دهد – این است که جمعیت شرکت کنندگان در DEF CON که اوایل هفته آینده به وگاس می روند ممکن است خسته شوند و تصمیم بگیرند که “کلاه سیاه” را به هم بزنند. شبکه ای در راه اندازی کنوانسیون هکرها ، که از 5 آگوست آغاز می شود ، بسیاری از آنها معمولاً برای شرکت در کنفرانس BSides زود هنگام در شهر هستند ، اما امسال به دلیل همه گیری همه گیر آنلاین شد.
اولین نسخه NDR
اما اپراتورهای Black Hat NOC اذعان می کنند که دسترسی به آنها ، توانایی تست رانندگی و گاهی حتی شکل دادن به فناوری های جدید برای اکثر شرکت ها معمول نیست. NOC چندین سال است که برخی از شرکتها هنوز فناوریهای “جدید” را در نظر می گیرد ، مانند تجزیه و تحلیل رفتاری ، تنظیم امنیت ، اتوماسیون و پاسخ (SOAR) ، سیستم عاملهای تهدید ، و ابزارهای تشخیص و پاسخ نقطه پایانی (EDR).
قطعه اتوماسیون در سرعت بخشیدن به پاسخ آنها به هر گونه فریبکاری در شبکه کلیدی بوده است. وایلر می گوید: “ما نمی توانیم در تمام سه طبقه Mandalay Bay” به یک کلاس درس برویم “. به عنوان مثال ، اگر آنها ترافیک فرمان و کنترل را تشخیص دهند ، یک دفترچه بازی دارای فایروال های شبکه شخصی (PAN) آنها است که در صورت عدم تردد قانونی در کلاس ، آن را در یک درگاه ضبط شده با هشدار قرار می دهد. اگر مخرب تلقی شود ، کاربر پیامی برای دیدن NOC برای عیب یابی مشکل دریافت می کند.
جدیدترین عضو NOC امسال تشخیص و پاسخ شبکه (NDR) خواهد بود که از ضبط کامل بسته ها ، یادگیری ماشینی و سیستم های اطلاعات تهدید استفاده می کند.
وایلر توضیح می دهد: “ما سه راه حل مختلف در آنجا داریم ، همه ترافیک را منعکس می کند” بنابراین تیم می تواند مقایسه و تجزیه و تحلیل کند که کدام سیستم چه چیزی را پیدا می کند. “امسال تمرکز ما روی قطعه NDR و [to] ببینید آنچه راه حل های مختلف می بینند یا نمی بینند [it on the network]. “
شبکه امسال در مرحله پیشرفت ساخت و ساز بود ، بنابراین جزئیات نهایی نبود. اما مانند شبکه 2019 ، انتظار می رود که شامل فایروال PAN باشد. تجزیه و تحلیل Cisco Threat Grid ، امنیت ابر Umbrella و محصولات امنیتی نقطه پایانی ؛ نقاط دسترسی بی سیم Ruckus ، کنترل کننده ها و سوئیچ ها ؛ پلت فرم تشخیص و پاسخ تهدید NetWitness RSA ؛ ابزارهای نظارت بر مرکز داده گیگامون ؛ و مدارهای CenturyLink 10G ، به گفته استامپ و وایلر.
نگاه کردن به کاسه ماهی
تیم NOC امسال به دلیل همه گیری ، تورهای پیاده روی معمولی خود را در مرکز فرماندهی خود برگزار نمی کند ، اما آنها قصد دارند به طور زنده از طریق Twitch از محل خود در مرکز کنفرانس Mandalay Bay پخش کنند.
استامپ توضیح می دهد: “ما هنوز می خواستیم این تعامل را داشته باشیم ، بنابراین ما یک جریان Twitch انجام می دهیم تا همان” کاسه ماهی “را به طور چشم نواز تماشا کنیم.” “ما برخی از داشبوردها را هنوز در پس زمینه داریم … و این تعامل و حداقل روحیه را حفظ می کنیم [traditionally open] شب. “