У цій статті є інструменти для сканування та відображення мережі, виявлення пристроїв і служб, а також виявлення потенційних вразливостей.
289 
Що таке синя команда? NIST визначає синю команду як «групу, відповідальну за захист інформаційних систем на підприємстві, підтримуючи її безпеку від групи фіктивних зловмисників». Якщо червона команда грає в нападі, синя команда грає в обороні, щоб захистити важливі активи організації. Сині команди проводять оперативну оцінку безпеки мережі та надають відповідні інструменти та методи пом’якшення для організацій, які прагнуть оцінити свій захист або підготуватися до атак червоної команди. Сині команди часто складаються з персоналу служби безпеки в організації, або ця організація може вибрати певних членів команди для створення спеціальної синьої команди у відділі. Сині команди також можуть бути незалежними консультантами, найнятими для конкретних завдань, які використовують свій досвід, щоб допомогти перевірити стан захисту організації.
Кваліфікована синя команда з кібербезпеки може відіграти вирішальну роль у розробці комплексного плану захисту організації з використанням найновіших інструментів і методів — іншими словами, «стека безпеки синьої команди». Часто краще вважати їх найактивнішим контингентом команди безпеки. Не всі працівники групи безпеки спеціалізуються на завданнях, які вважаються високорівневими або достатньо відповідними для тестування. Сині команди зосереджені на загрозах високого рівня та постійно вдосконалюють методи виявлення та реагування. Сині команди повинні бути праві весь час. Окрім уваги до деталей, сині команди також повинні мислити творчо та мати здатність адаптуватися на ходу. Вчіться у Blue Teamers за допомогою колекції Blue Teaming Tips. Ці поради охоплюють низку тактик, інструментів і методологій для покращення ваших здібностей синьої команди.
Порада щодо аналізу зловмисного програмного забезпечення — використовуйте Process Hacker, щоб спостерігати за підозрілими збірками .NET у щойно створених процесах. У поєднанні з DnSpy можна знаходити та витягувати зловмисне корисне навантаження без необхідності ручної деобфускації
У Windows часто можна спостерігати, як зловмисники виконують початкове виконання за допомогою шкідливих файлів сценаріїв, які маскуються під файли Microsoft Office. Хороший спосіб запобігти цьому ланцюжку атак — змінити програму за замовчуванням, пов’язану з цими файлами (HTA, JS, VBA, VBS), на notepad.exe. Тепер, коли користувача успішно обманом змусять клацнути файл HTA на диску, він відкриє сценарій у блокноті, і виконання не відбудеться.
Зловмисне програмне забезпечення для шифрування стає все більш складним: зловмисне програмне забезпечення для майнінгу використовує бічне завантаження DLL, щоб приховати на машині та зменшити навантаження на ЦП, щоб залишатися нижче порогів виявлення. Одне, що їх усіх об’єднує, це те, що вони повинні встановлювати зв’язки з майнінг-пулами, саме тут ми можемо їх знайти. Слідкуйте за проксі-сервером і журналами DNS на наявність з’єднань, що містять загальні рядки майнінг-пулу (наприклад, *xmr.*OR *pool.comOR *pool.orgOR pool.*).
289 
297 
301 
262