Die wydverspreide aanvaarding van wolkrekenaars help maatskappye om hul besigheid te skaal. Maar die gebruik van nuwe platforms beteken ook die ontstaan van nuwe bedreigings. Om jou eie span te onderhou binne 'n organisasie wat verantwoordelik is vir die monitering van die sekuriteit van wolkdienste is nie 'n maklike taak nie. Bestaande moniteringsinstrumente is duur en stadig. Hulle is tot 'n mate moeilik om te bestuur wanneer dit kom by die beveiliging van grootskaalse wolkinfrastruktuur. Om hul wolksekuriteit op 'n hoë vlak te hou, benodig maatskappye kragtige, buigsame en intuïtiewe gereedskap wat verder gaan as wat voorheen beskikbaar was. Dit is waar oopbrontegnologieë baie handig te pas kom, wat help om sekuriteitsbegrotings te bespaar en geskep word deur spesialiste wat baie van hul besigheid weet.
Die artikel, die vertaling waarvan ons vandag publiseer, bied 'n oorsig van 7 oopbronnutsgoed vir die monitering van die sekuriteit van wolkstelsels. Hierdie instrumente is ontwerp om teen kuberkrakers en kubermisdadigers te beskerm deur afwykings en onveilige aktiwiteite op te spoor.
1. Osquery
is 'n stelsel vir lae-vlak monitering en ontleding van bedryfstelsels wat sekuriteitspersoneel toelaat om komplekse data-ontginning met behulp van SQL uit te voer. Die Osquery-raamwerk kan op Linux, macOS, Windows en FreeBSD loop. Dit verteenwoordig die bedryfstelsel (OS) as 'n hoë-prestasie relasionele databasis. Dit laat sekuriteitspesialiste toe om die bedryfstelsel te ondersoek deur SQL-navrae uit te voer. Byvoorbeeld, deur 'n navraag te gebruik, kan jy uitvind oor lopende prosesse, gelaaide kernmodules, oop netwerkverbindings, geïnstalleerde blaaieruitbreidings, hardewaregebeurtenisse en lêer-hashes.
Die Osquery-raamwerk is deur Facebook geskep. Sy kode is oopbron in 2014, nadat die maatskappy besef het dat dit nie net hyself was wat gereedskap nodig het om die laevlakmeganismes van bedryfstelsels te monitor nie. Sedertdien is Osquery gebruik deur spesialiste van maatskappye soos Dactiv, Google, Kolide, Trail of Bits, Uptycs, en vele ander. Dit was onlangs dat die Linux Foundation en Facebook 'n fonds gaan vorm om Osquery te ondersteun.
Osquery se gasheermoniteringsdaemon, genaamd osqueryd, laat jou toe om navrae te skeduleer wat data van regoor jou organisasie se infrastruktuur versamel. Die daemon versamel navraagresultate en skep logs wat veranderinge in die toestand van die infrastruktuur weerspieël. Dit kan sekuriteitspersoneel help om op hoogte te bly van die status van die stelsel en is veral nuttig om afwykings te identifiseer. Osquery se log-aggregasie-vermoëns kan gebruik word om jou te help om bekende en onbekende wanware te vind, asook om te identifiseer waar aanvallers jou stelsel binnegekom het en om te vind watter programme hulle geïnstalleer het. Lees meer oor anomalie-opsporing met behulp van Osquery.
2.GoOudit
System bestaan uit twee hoofkomponente. Die eerste is een of ander kernvlakkode wat ontwerp is om stelseloproepe te onderskep en te monitor. Die tweede komponent is 'n gebruikersruimte daemon genoem . Dit is verantwoordelik vir die skryf van ouditresultate na skyf. , 'n stelsel wat deur die maatskappy geskep is en vrygestel in 2016, bedoel om geouditeerde te vervang. Dit het aantekenvermoëns verbeter deur multilyn-gebeurtenisboodskappe wat deur die Linux-ouditstelsel gegenereer word, om te skakel in enkele JSON-blare vir makliker analise. Met GoAudit het u direk toegang tot kernvlakmeganismes oor die netwerk. Daarbenewens kan u minimale gebeurtenisfiltrering op die gasheer self aktiveer (of filtering heeltemal deaktiveer). Terselfdertyd is GoAudit 'n projek wat nie net ontwerp is om sekuriteit te verseker nie. Hierdie instrument is ontwerp as 'n funksie-ryke hulpmiddel vir stelselondersteuning of ontwikkeling professionele persone. Dit help om probleme in grootskaalse infrastruktuur te bestry.
Die GoAudit-stelsel is in Golang geskryf. Dit is 'n tipe-veilige en hoë-prestasie taal. Voordat jy GoAudit installeer, maak seker dat jou weergawe van Golang hoër as 1.7 is.
3. Grapl
Project (Graph Analytics Platform) is in Maart verlede jaar na die oopbronkategorie oorgeplaas. Dit is 'n relatief nuwe platform om sekuriteitskwessies op te spoor, rekenaarforensiese ondersoeke uit te voer en voorvalverslae te genereer. Aanvallers werk dikwels deur iets soos 'n grafiekmodel te gebruik, om beheer oor 'n enkele stelsel te verkry en ander netwerkstelsels te verken vanaf daardie stelsel. Daarom is dit heel natuurlik dat stelselverdedigers ook 'n meganisme sal gebruik wat gebaseer is op 'n model van 'n grafiek van verbindings van netwerkstelsels, met inagneming van die eienaardighede van verhoudings tussen stelsels. Grapl demonstreer 'n poging om insidentopsporing en reaksiemaatreëls te implementeer gebaseer op 'n grafiekmodel eerder as 'n logmodel.
Die Grapl-instrument neem sekuriteitsverwante logs (Sysmon-logs of logs in gewone JSON-formaat) en skakel dit om in subgrafieke (wat 'n "identiteit" vir elke nodus definieer). Daarna kombineer dit die subgrafieke in 'n algemene grafiek (Master Graph), wat die aksies wat in die geanaliseerde omgewings uitgevoer word, verteenwoordig. Grapl laat ontleders dan op die resulterende grafiek loop deur "aanvallerhandtekeninge" te gebruik om afwykings en verdagte patrone te identifiseer. Wanneer die ontleder 'n verdagte subgrafiek identifiseer, genereer Grapl 'n Engagement-konstruk wat bedoel is vir ondersoek. Engagement is 'n Python-klas wat byvoorbeeld in 'n Jupyter Notebook wat in die AWS-omgewing ontplooi is, gelaai kan word. Grapl kan boonop die skaal van inligtingversameling vir voorvalondersoek vergroot deur grafiekuitbreiding.
As jy Grapl beter wil verstaan, kan jy gaan kyk interessante video - opname van 'n optrede van BSides Las Vegas 2019.
4. OSSEC
is 'n projek wat in 2004 gestig is. Hierdie projek, oor die algemeen, kan gekenmerk word as 'n oopbron-sekuriteitsmoniteringsplatform wat ontwerp is vir gasheeranalise en inbraakdetectie. OSSEC word meer as 500000 XNUMX keer per jaar afgelaai. Hierdie platform word hoofsaaklik gebruik as 'n manier om indringers op bedieners op te spoor. Boonop praat ons van plaaslike sowel as wolkstelsels. OSSEC word ook dikwels gebruik as 'n hulpmiddel vir die ondersoek van monitering- en ontledingslogboeke van brandmure, inbraakdetectiestelsels, webbedieners, en ook vir die bestudering van verifikasielogboeke.
OSSEC kombineer die vermoëns van 'n gasheergebaseerde intrusieopsporingstelsel (HIDS) met 'n Security Incident Management (SIM) en Security Information and Event Management (SIEM) stelsel. OSSEC kan ook lêerintegriteit in reële tyd monitor. Dit monitor byvoorbeeld die Windows-register en bespeur rootkits. OSSEC kan belanghebbendes intyds oor opgespoorde probleme in kennis stel en help om vinnig op opgespoorde bedreigings te reageer. Hierdie platform ondersteun Microsoft Windows en die meeste moderne Unix-agtige stelsels, insluitend Linux, FreeBSD, OpenBSD en Solaris.
Die OSSEC-platform bestaan uit 'n sentrale beheer-entiteit, 'n bestuurder, wat gebruik word om inligting van agente te ontvang en te monitor (klein programme geïnstalleer op die stelsels wat gemonitor moet word). Die bestuurder is op 'n Linux-stelsel geïnstalleer, wat 'n databasis stoor wat gebruik word om die integriteit van lêers na te gaan. Dit stoor ook logs en rekords van gebeure en stelselouditresultate.
Die OSSEC-projek word tans deur Atomicorp ondersteun. Die maatskappy hou toesig oor 'n gratis oopbronweergawe, en bied boonop kommersiële weergawe van die produk. podcast waarin die OSSEC-projekbestuurder praat oor die nuutste weergawe van die stelsel - OSSEC 3.0. Dit praat ook oor die geskiedenis van die projek, en hoe dit verskil van moderne kommersiële stelsels wat op die gebied van rekenaarsekuriteit gebruik word.
5. meerkat
is 'n oopbronprojek wat daarop gefokus is om die hoofprobleme van rekenaarsekuriteit op te los. Dit sluit veral 'n inbraakdetectiestelsel, 'n inbraakvoorkomingstelsel en 'n netwerksekuriteitmoniteringsinstrument in.
Hierdie produk het in 2009 verskyn. Sy werk is gebaseer op reëls. Dit wil sê, die een wat dit gebruik, het die geleentheid om sekere kenmerke van netwerkverkeer te beskryf. As die reël geaktiveer word, genereer Suricata 'n kennisgewing, blokkeer of beëindig die verdagte verbinding, wat weer afhang van die gespesifiseerde reëls. Die projek ondersteun ook multi-draad werking. Dit maak dit moontlik om 'n groot aantal reëls vinnig te verwerk in netwerke wat groot volumes verkeer dra. Danksy multi-threading-ondersteuning is 'n heeltemal gewone bediener in staat om verkeer suksesvol te ontleed wat teen 'n spoed van 10 Gbit/s reis. In hierdie geval hoef die administrateur nie die stel reëls wat vir verkeersontleding gebruik word, te beperk nie. Suricata ondersteun ook hashing en lêerherwinning.
Suricata kan gekonfigureer word om op gewone bedieners of op virtuele masjiene, soos AWS, te werk, met behulp van 'n onlangs ingevoerde kenmerk in die produk .
Die projek ondersteun Lua-skrifte, wat gebruik kan word om komplekse en gedetailleerde logika te skep vir die ontleding van bedreigingshandtekeninge.
Die Suricata-projek word deur die Open Information Security Foundation (OISF) bestuur.
6. Zeek (bro)
Soos Suricata, (hierdie projek is voorheen Bro genoem en is herdoop na Zeek by BroCon 2018) is ook 'n inbraakdetectiestelsel en netwerksekuriteitmoniteringsinstrument wat afwykings soos verdagte of gevaarlike aktiwiteite kan opspoor. Zeek verskil van tradisionele IDS deurdat, anders as reël-gebaseerde stelsels wat uitsonderings opspoor, Zeek ook metadata vaslê wat verband hou met wat op die netwerk gebeur. Dit word gedoen om die konteks van ongewone netwerkgedrag beter te verstaan. Dit laat, byvoorbeeld, deur die ontleding van 'n HTTP-oproep of die prosedure vir die uitruil van sekuriteitsertifikate na die protokol, na die pakkieopskrifte, na die domeinname te kyk.
As ons Zeek as 'n netwerksekuriteitsinstrument beskou, dan kan ons sê dat dit 'n spesialis die geleentheid bied om 'n voorval te ondersoek deur te leer oor wat voor of tydens die voorval gebeur het. Zeek skakel ook netwerkverkeerdata om in hoëvlakgebeurtenisse en bied die vermoë om met 'n skriftolk te werk. Die tolk ondersteun 'n programmeertaal wat gebruik word om met gebeurtenisse te kommunikeer en om uit te vind wat presies daardie gebeurtenisse in terme van netwerksekuriteit beteken. Die Zeek-programmeertaal kan gebruik word om aan te pas hoe metadata geïnterpreteer word om by 'n spesifieke organisasie se behoeftes te pas. Dit laat jou toe om komplekse logiese toestande te bou deur die EN-, OF- en NIE-operateurs te gebruik. Dit gee gebruikers die vermoë om aan te pas hoe hul omgewings ontleed word. Daar moet egter op gelet word dat, in vergelyking met Suricata, Zeek dalk na 'n taamlik komplekse instrument lyk wanneer veiligheidsbedreigings verkenning gedoen word.
Indien jy belangstel in meer besonderhede oor Zeek, kontak asseblief video.
7. Panter
is 'n kragtige, inheemse wolk-inheemse platform vir deurlopende sekuriteitsmonitering. Dit is onlangs na die oopbronkategorie oorgeplaas. Die hoofargitek is aan die oorsprong van die projek - oplossings vir outomatiese log-analise, waarvan die kode deur Airbnb geopen is. Panther gee die gebruiker 'n enkele stelsel om bedreigings in alle omgewings sentraal op te spoor en 'n reaksie daarop te organiseer. Hierdie stelsel is in staat om te groei saam met die grootte van die infrastruktuur wat bedien word. Bedreigingsopsporing is gebaseer op deursigtige, deterministiese reëls om vals positiewe en onnodige werkslading vir sekuriteitspersoneel te verminder.
Onder die hoofkenmerke van Panther is die volgende:
- Opsporing van ongemagtigde toegang tot hulpbronne deur logboeke te ontleed.
- Bedreigingsopsporing, geïmplementeer deur logboeke te soek vir aanwysers wat sekuriteitsprobleme aandui. Die soektog word uitgevoer met behulp van Panter se gestandaardiseerde datavelde.
- Kontroleer die stelsel vir voldoening aan SOC/PCI/HIPAA-standaarde met behulp van Panter meganismes.
- Beskerm jou wolkhulpbronne deur outomaties konfigurasiefoute reg te stel wat ernstige probleme kan veroorsaak as dit deur aanvallers uitgebuit word.
Panther word op 'n organisasie se AWS-wolk ontplooi met AWS CloudFormation. Dit laat die gebruiker toe om altyd in beheer van sy data te wees.
Resultate van
Die monitering van stelselsekuriteit is deesdae 'n kritieke taak. Om hierdie probleem op te los, kan maatskappye van enige grootte gehelp word deur oopbronhulpmiddels wat baie geleenthede bied en byna niks kos of gratis is nie.
Beste lesers! Watter sekuriteitsmoniteringsinstrumente gebruik jy?
Bron: will.com