Kali Purple — это новый проект разработчиков Kali, который фокусируется в первую очередь на сетевой защите и системе кибербезопасности NIST. В этой статье мы покажем возможности и использование этого нового инструмента безопасности, который в первую очередь нацелен на защищающиеся синие команды.
Новый проект Kali «Purple» для защиты сети объединяет инструменты для красных и синих команд. Традиционные установки Kali более ориентированы на наступление и могут проводить агрессивные пентесты для красных команд.
Перед красными командами стоит задача находить уязвимости в сети посредством хакерских атак (наступательная безопасность/этический взлом), чтобы иметь возможность закрыть их перед атаками реальных киберпреступников. Разработчики Kali также называют Kali Purple SOC In-A-Box.
Давайте рассмотрим какие возможности Kali Purple предлагает для проверки защиты от злоумышленников.
Kali Purple существенно отличается от Kali
Kali Purple — это дистрибутив безопасности, независимый от традиционной версии Kali, с другими инструментами, предустановленными по умолчанию. Поскольку Kali Purple все еще находится на ранней стадии разработки, уровень разработки еще не такой продвинутый, как у ранее известной версии Kali. Однако Kali и Kali Purple используют одни и те же источники пакетов для установки инструментов. Это можно проверить в терминале Kali с помощью следующей команды:
cat /etc/apt/sources.list
Это означает, что все инструменты, необходимые командам Red, Blue и Purple, можно установить на обе платформы. Например, в Kali Purple отсутствует Burp Suite, но его можно легко установить в терминале:
sudo apt install burpsuite
И наоборот, инструменты от Karli Purple можно установить в обычный дистрибутив Kali, например Cisco Auditing Tool CAT:
sudo apt install cisco-auditing-tool
Итак, внутри дистрибутивы очень похожи, а набор инструментов разный.
Kali Purple — операционный центр безопасности для малого и среднего бизнеса
Новый проект Kali «Kali Purple» фокусируется на наступательных инструментах для Красной команды, а также на Синей команде, которая фокусируется на защите сетей и, следовательно, является «противником» Красной команды.
Фиолетовая команда представляет собой комбинацию Красной и Синей команд и готова к атаке и защите. Это команды, на которых фокусируется Kali Purple. Таким образом, дистрибутив безопасности включает в себя инструменты для атакующих и защитников, в то время как традиционные дистрибутивы Kali до сих пор ориентированы в первую очередь на красные команды. Дистрибутив Kali Purple можно бесплатно скачать прямо с сайта проекта, там же можно найти документацию Kali Purple.
Инструменты сетевой защиты
Наступательные инструменты для тестирования на проникновение доступны в Kali Linux уже много лет. Kali Purple использует инструменты анализа, такие как Arkime, сканеры уязвимостей, такие как Greenbone Vulnerability Manager (GVM), и другие системы обнаружения вторжений, такие как Suricata. Другие примеры включают CyberChef, Elasticsearch SIEM (информация о безопасности и управление событиями), TheHive, Malcolm и Zeek.
Эти инструменты являются частью Kali Purple, но Синяя/Фиолетовая команда, конечно, может использовать все другие инструменты, которые ранее предназначались для Красной команды в Kali.
Также включены платформы для автоматизации. Kali Autopilot помогает создавать сценарии. Есть также шаблоны, которые можно использовать. Они доступны на Kali Purple Hub.
Однако можно установить практически любые другие инструменты. Debian используется в качестве основы для Kali. Поэтому на Kali Purple можно легко установить другие инструменты безопасности Debian.
Kali Purple использует структуру кибербезопасности NIST
Национальный институт стандартов и технологий США (NIST) предоставляет структуру кибербезопасности, которая предоставляет стандарты, рекомендации и практики для защиты сетей. Эти основные принципы кибербезопасности критической инфраструктуры Национального института стандартов и технологий (NIST CSF) заложены в Kali Purple.
Процедуры разделены на пять областей: идентификация, защита, обнаружение, реагирование и восстановление. Эти пять доменов также доступны как программные группы в Kali Purple. В каждой группе программ имеются инструменты, которые можно использовать в соответствующем направлении. Это не обязательно просто новые инструменты. Для синих и фиолетовых команд также можно использовать стандартные инструменты из обычного дистрибутива Kali, например Maltego.
Начало работы с Kali Purple
После загрузки Kali Purple новую версию можно установить на физические и виртуальные компьютеры. В настоящее время нет живого распространения или готовых образов виртуальных машин.
Но это может измениться в любой момент. Например, можно использовать продукты VMware, Virtualbox или Hyper-V. Установка осуществляется через мастера. После установки имеет смысл сначала установить все пакеты в терминале. Это делается с помощью стандартных команд Debian:
sudo apt update -y && sudo apt upggrade -y
Если Kali Purple обновлена и перезапущена, новые версии станут доступны, а инструменты для красных и синих команд можно будет использовать в общем интерфейсе. Пока красные команды активно ищут уязвимости в сети, синие проверяют, достаточны ли меры безопасности в сети. Фиолетовая команда берет на себя обе задачи.
Как и в традиционном дистрибутиве Kali, в Kali Purple инструменты разделены на разные группы, такие как «Идентификация», «Защита», «Обнаружение» и «Реагирование». Однако во многих случаях группы программ содержат и другие инструменты, ориентированные в первую очередь на синие команды.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.