يساعد الاعتماد الواسع النطاق للحوسبة السحابية الشركات على توسيع نطاق أعمالها. لكن استخدام منصات جديدة يعني أيضًا ظهور تهديدات جديدة. إن دعم فريقك داخل المؤسسة المسؤولة عن مراقبة أمان الخدمات السحابية ليس بالمهمة السهلة. أدوات المراقبة الحالية باهظة الثمن وبطيئة. يصعب إدارتها ، إلى حد ما ، إذا كنت بحاجة إلى ضمان أمان بنية أساسية سحابية واسعة النطاق. تتطلب الشركات التي تتطلع إلى الحفاظ على أمان السحابة الخاصة بها على مستوى عالٍ أدوات قوية ومرنة ومفهومة تتجاوز ما كان متاحًا من قبل. هذا هو المكان الذي تكون فيه التقنيات مفتوحة المصدر مفيدة للغاية ، مما يساعد على توفير الميزانيات للأمان ويتم إنشاؤها بواسطة متخصصين يعرفون الكثير عن أعمالهم.
تقدم المقالة ، التي ننشر ترجمتها اليوم ، نظرة عامة على 7 أدوات مفتوحة المصدر لمراقبة أمان الأنظمة السحابية. تم تصميم هذه الأدوات للحماية من المتسللين ومجرمي الإنترنت من خلال اكتشاف الانحرافات والأنشطة غير الآمنة.
1. أوسكويري
هو نظام لرصد وتحليل منخفض المستوى لأنظمة التشغيل التي تسمح لمتخصصي الأمن بإجراء التنقيب عن البيانات المعقدة باستخدام SQL. يمكن تشغيل إطار عمل Osquery على أنظمة Linux و macOS و Windows و FreeBSD. يقدم نظام التشغيل (OS) كقاعدة بيانات علائقية عالية الأداء. يتيح ذلك لمتخصصي الأمان استكشاف نظام التشغيل من خلال تنفيذ استعلامات SQL. على سبيل المثال ، باستخدام استعلام ، يمكنك التعرف على العمليات الجارية ، حول وحدات النواة المحملة ، حول اتصالات الشبكة المفتوحة ، حول ملحقات المستعرض المثبتة ، حول أحداث الأجهزة ، حول مجاميع تجزئة الملفات.
تم إنشاء إطار عمل Osquery بواسطة Facebook. تم افتتاح الكود الخاص به في عام 2014 ، بعد أن أدركت الشركة أنها ليست فقط الشركة نفسها التي تحتاج إلى أدوات لمراقبة الآليات منخفضة المستوى لأنظمة التشغيل. منذ ذلك الحين ، تم استخدام Osquery من قبل خبراء من شركات مثل Dactiv و Google و Kolide و Trail of Bits و Uptycs والعديد من الشركات الأخرى. مؤخرا كان أن مؤسسة Linux Foundation و Facebook ستشكلان صندوقًا لدعم Osquery.
يسمح لك البرنامج الخفي لمراقبة مضيف Osquery ، المسمى osqueryd ، بجدولة الاستعلامات التي تجمع البيانات من جميع أنحاء البنية التحتية لمؤسستك. يجمع البرنامج الخفي نتائج الاستعلام ويُنشئ سجلات تعكس التغييرات في حالة البنية التحتية. يمكن أن يساعد ذلك المتخصصين في مجال الأمن على مواكبة الوضع في النظام ومفيد بشكل خاص لاكتشاف الحالات الشاذة. يمكن استخدام إمكانات تجميع السجلات في Osquery لتسهيل البحث عن البرامج الضارة المعروفة وغير المعروفة ، وكذلك لتحديد مكان دخول المتسللين إلى النظام والعثور على البرامج التي قاموا بتثبيتها. المواد ، حيث يمكنك العثور على تفاصيل حول اكتشاف الانحرافات باستخدام Osquery.
2-مراجعة الحسابات
نظام يتكون من عنصرين رئيسيين. الأول هو بعض التعليمات البرمجية على مستوى النواة المصممة لاعتراض مكالمات النظام ومراقبتها. المكون الثاني هو برنامج خفي لمساحة المستخدم يسمى . وهي مسؤولة عن كتابة نتائج التدقيق على القرص. ، وهو نظام أنشأته الشركة وتم إصداره في عام 2016 ليحل محل التدقيق د. لقد تم تحسين إمكانات التسجيل عن طريق تحويل رسائل الأحداث متعددة الخطوط التي تم إنشاؤها بواسطة نظام تدقيق Linux إلى نقاط JSON مفردة ، مما يسهل التحليل. بفضل GoAudit ، يمكنك الوصول مباشرة إلى آليات مستوى النواة عبر الشبكة. بالإضافة إلى ذلك ، يمكنك تمكين الحد الأدنى من تصفية الأحداث على المضيف نفسه (أو تعطيل التصفية بالكامل). في الوقت نفسه ، يعد GoAudit مشروعًا مصممًا ليس فقط للأمان. تهدف هذه الأداة إلى أن تكون أداة متعددة الوظائف لدعم النظام أو محترفي التطوير. يساعد في التعامل مع المشاكل في البنى التحتية واسعة النطاق.
نظام GoAudit مكتوب بلغة Golang. إنها لغة آمنة من النوع وعالية الأداء. قبل تثبيت GoAudit ، تأكد من أن إصدار Golang الخاص بك أعلى من 1.7.
3 جربل
مشروع (منصة تحليلات الرسم البياني) تم نقلها إلى فئة مفتوحة المصدر في مارس من العام الماضي. وهي عبارة عن منصة جديدة نسبيًا لاكتشاف المشكلات الأمنية ، ولإجراء التحاليل الجنائية الحاسوبية ولتوليد تقارير الحوادث. غالبًا ما يعمل المهاجمون باستخدام شيء مثل نموذج الرسم البياني ، ويكتسبون التحكم في نظام معين ويستكشفون الأنظمة المتصلة بالشبكة بدءًا من هذا النظام. لذلك ، من الطبيعي تمامًا أن يستخدم المدافعون عن النظام أيضًا آلية تستند إلى نموذج الرسم البياني لاتصال أنظمة الشبكة ، والذي يأخذ في الاعتبار خصوصيات العلاقات بين الأنظمة. يوضح Grapl محاولة لتطبيق إجراءات الكشف عن الحوادث والاستجابة لها بناءً على نموذج الرسم البياني بدلاً من نموذج السجل.
تأخذ أداة Grapl السجلات المتعلقة بالأمان (سجلات Sysmon أو سجلات JSON العادية) وتحولها إلى رسوم بيانية فرعية (تحدد "معلومات الهوية" لكل عقدة). بعد ذلك ، يقوم بدمج الرسوم البيانية الفرعية في رسم بياني عام (الرسم البياني الرئيسي) ، والذي يمثل الإجراءات التي يتم تنفيذها في البيئات التي تم تحليلها. ثم يقوم Grapl بتشغيل أجهزة التحليل على الرسم البياني الناتج باستخدام "توقيعات المهاجم" لاكتشاف الحالات الشاذة والأنماط المشبوهة. عندما يكتشف المحلل اللغوي مخططًا فرعيًا مشبوهًا ، ينشئ Grapl بنية ارتباط للتحقيق. المشاركة هي إحدى فئات Python التي يمكن تحميلها ، على سبيل المثال ، في Jupyter Notebook تم نشره في بيئة AWS. يستطيع Grapl أيضًا توسيع نطاق جمع المعلومات للتحقيق في الحادث من خلال توسيع الرسم البياني.
إذا كنت تريد أن تتحسن مع Grapl ، فيمكنك إلقاء نظرة على مقطع فيديو مثير للاهتمام هو تسجيل لأداء من BSides Las Vegas 2019.
4 OSSEC
هو مشروع تأسس عام 2004. يمكن وصف هذا المشروع ، بشكل عام ، بأنه منصة مراقبة أمنية مفتوحة المصدر مصممة لتحليل المضيف واكتشاف التسلل. يتم تنزيل OSSEC أكثر من 500000 مرة في السنة. تُستخدم هذه المنصة بشكل أساسي كأداة للكشف عن التسلل في الخادم. علاوة على ذلك ، نحن نتحدث عن كل من الأنظمة المحلية والسحابة. غالبًا ما يتم استخدام OSSEC كأداة لفحص سجلات المراقبة وتحليل جدران الحماية وأنظمة الكشف عن التطفل وخوادم الويب وفحص سجلات المصادقة.
يجمع OSSEC بين نظام كشف التسلل المستند إلى المضيف (HIDS) مع إدارة الحوادث الأمنية (SIM) وإدارة المعلومات الأمنية وإدارة الأحداث (SIEM). OSSEC قادر أيضًا على مراقبة سلامة الملفات في الوقت الفعلي. هذا ، على سبيل المثال ، مراقبة سجل Windows ، واكتشاف الجذور الخفية. OSSEC قادر على إخطار أصحاب المصلحة بشأن المشاكل المكتشفة في الوقت الفعلي ويساعد على الاستجابة السريعة للتهديدات المكتشفة. يدعم هذا النظام الأساسي Microsoft Windows ومعظم الأنظمة الشبيهة بـ Unix الحديثة ، بما في ذلك Linux و FreeBSD و OpenBSD و Solaris.
تتكون منصة OSSEC من كيان تحكم مركزي ، وهو مدير يستخدم لتلقي ومراقبة المعلومات من الوكلاء (البرامج الصغيرة المثبتة على الأنظمة التي يجب مراقبتها). يتم تثبيت المدير على نظام Linux الذي يحتفظ بقاعدة بيانات للتحقق من سلامة الملفات. كما أنه يحتفظ بسجلات وسجلات الأحداث ونتائج تدقيق النظام.
مشروع OSSEC مدعوم حاليًا من قبل Atomicorp. تقوم الشركة برعاية نسخة مجانية مفتوحة المصدر ، بالإضافة إلى العروض النسخة التجارية للمنتج. بودكاست يتحدث فيه مدير مشروع OSSEC عن أحدث إصدار من النظام - OSSEC 3.0. كما يتحدث عن تاريخ المشروع ، وكيف يختلف عن الأنظمة التجارية الحديثة المستخدمة في مجال أمن الكمبيوتر.
5. الميركات
هو مشروع مفتوح المصدر يركز على حل المشاكل الرئيسية لأمن الكمبيوتر. على وجه الخصوص ، يتضمن نظام كشف التسلل ونظام منع التسلل وأداة مراقبة أمان الشبكة.
تم إطلاق هذا المنتج في عام 2009. يعتمد عمله على القواعد. أي أن الشخص الذي يستخدمه لديه الفرصة لوصف ميزات معينة لحركة مرور الشبكة. إذا تم تشغيل القاعدة ، فسيقوم Suricata بإنشاء إشعار أو حظر أو قطع الاتصال المشبوه ، والذي يعتمد مرة أخرى على القواعد التي تم تعيينها. المشروع يدعم أيضا multithreading. هذا يجعل من الممكن بسرعة معالجة عدد كبير من القواعد في الشبكات التي تحمل كميات كبيرة من حركة المرور. بفضل دعم تعدد مؤشرات الترابط ، يستطيع الخادم العادي تحليل حركة المرور بنجاح بسرعة 10 جيجابت / ثانية. في الوقت نفسه ، لا يتعين على المسؤول تقييد مجموعة القواعد المستخدمة لتحليل حركة المرور. يدعم Suricata أيضًا تجزئة واستخراج الملفات.
يمكن تكوين Suricata للتشغيل على خوادم عادية أو على أجهزة افتراضية ، مثل AWS ، باستخدام ميزة تمت إضافتها مؤخرًا إلى المنتج .
يدعم المشروع نصوص Lua النصية التي يمكن استخدامها لإنشاء منطق تحليل توقيع التهديد المعقد والمفصل.
تتم إدارة مشروع Suricata من قبل مؤسسة أمن المعلومات المفتوحة (OISF).
6. زيك (إخوانه)
مثل Suricata ، (كان هذا المشروع يُسمى سابقًا Bro وتمت إعادة تسميته Zeek في حدث BroCon 2018) وهو أيضًا نظام للكشف عن التسلل وأداة مراقبة أمان الشبكة التي يمكنها اكتشاف الحالات الشاذة مثل الأنشطة المشبوهة أو الخطيرة. يختلف Zeek عن IDS التقليدي في أنه ، على عكس الأنظمة المستندة إلى القواعد التي تكتشف الاستثناءات ، يلتقط Zeek أيضًا البيانات الوصفية المتعلقة بما يحدث على الشبكة. يتم ذلك من أجل فهم سياق سلوك الشبكة غير العادي بشكل أفضل. هذا يسمح ، على سبيل المثال ، عند تحليل مكالمة HTTP أو إجراء لتبادل شهادات الأمان ، بالنظر إلى البروتوكول ، في رؤوس الحزمة ، في أسماء المجالات.
إذا اعتبرنا Zeek كأداة لأمن الشبكة ، فيمكننا القول إنه يمنح المتخصص الفرصة للتحقيق في حادث من خلال التعرف على ما حدث قبل أو أثناء الحادث. يقوم Zeek أيضًا بتحويل بيانات حركة مرور الشبكة إلى أحداث عالية المستوى ويجعل من الممكن العمل مع مترجم نصي. يدعم المترجم لغة البرمجة المستخدمة للتفاعل مع الأحداث ومعرفة ما تعنيه هذه الأحداث بالضبط من حيث أمان الشبكة. يمكن استخدام لغة برمجة Zeek لتخصيص تفسير البيانات الوصفية حسب الحاجة من قبل مؤسسة معينة. يسمح لك ببناء شروط منطقية معقدة باستخدام عوامل التشغيل AND و OR و NOT. يمنح هذا المستخدمين القدرة على تخصيص كيفية تحليل بيئاتهم. صحيح ، تجدر الإشارة إلى أنه بالمقارنة مع Suricata ، يمكن أن يبدو Zeek كأداة معقدة إلى حد ما عند إجراء معلومات استخباراتية حول التهديدات الأمنية.
إذا كنت مهتمًا بمزيد من التفاصيل حول Zeek ، فيرجى الاتصال فيديو.
7. النمر
هي عبارة عن نظام أساسي قوي قائم على السحابة لمراقبة الأمان المستمر. تم نقله إلى فئة المصادر المفتوحة مؤخرًا. في نشأة المشروع هو المهندس الرئيسي هو حل للتحليل الآلي للمجلات ، التي تم فتح رمزها بواسطة Airbnb. يوفر Panther للمستخدم نظامًا واحدًا لاكتشاف التهديدات والاستجابة لها مركزيًا في جميع البيئات. هذا النظام قادر على النمو مع حجم البنية التحتية التي يتم خدمتها. يتم تنظيم اكتشاف التهديدات باستخدام قواعد حتمية شفافة لتقليل الإيجابيات الكاذبة وتقليل عبء العمل غير الضروري لمتخصصي الأمن.
من بين السمات الرئيسية لـ Panther ما يلي:
- الكشف عن الوصول غير المصرح به إلى الموارد عن طريق تحليل السجلات.
- تم تنفيذ فحص التهديدات من خلال البحث في السجلات عن مؤشرات تشير إلى مشاكل أمنية. يتم إجراء البحث باستخدام حقول بيانات Panter الموحدة.
- فحص النظام للامتثال SOC / PCI / HIPAA باستخدام آليات النمر.
- قم بحماية موارد السحابة الخاصة بك عن طريق الإصلاح التلقائي لأخطاء التكوين التي ، إذا تم استغلالها ، يمكن أن تسبب مشاكل خطيرة.
يتم نشر Panther في سحابة AWS الخاصة بالمؤسسة باستخدام AWS CloudFormation. يتيح ذلك للمستخدم أن يتحكم دائمًا في بياناته.
نتائج
مراقبة أمن الأنظمة ، في هذه الأيام ، هي المهمة الأكثر أهمية. يمكن أن تساعد الأدوات مفتوحة المصدر الشركات من جميع الأحجام في حل هذه المشكلة ، مما يوفر الكثير من الفرص ولا يكاد يكون مكلفًا أو مجانيًا.
القراء الأعزاء! ما هي أدوات المراقبة الأمنية التي تستخدمها؟
المصدر: www.habr.com