Шырокае распаўсюджванне хмарных вылічэнняў дапамагае кампаніям у маштабаванні бізнэсу. Але прымяненне новых платформ азначае і з'яўленне новых пагроз. Падтрымка ўнутры арганізацыі ўласнай каманды, які адказвае за маніторынг бяспекі хмарных службаў, гэта справа няпростая. Існуючыя інструменты маніторынгу дарогі і павольныя. Імі, у нейкай ступені, цяжка кіраваць у тым выпадку, калі трэба гарантаваць бяспеку буйнамаштабнай хмарнай інфраструктуры. Кампаніям, для таго, каб падтрымліваць сваю хмарную бяспеку на высокім узроўні, патрэбны магутныя, гнуткія і зразумелыя прылады, магчымасці якіх перавышаюць магчымасці таго, што было даступна раней. Менавіта тут аказваюцца вельмі дарэчы апенсорсныя тэхналогіі, якія дапамагаюць эканоміць бюджэты на бяспеку і ствараюцца сіламі спецыялістаў, якія ведаюць толк у сваёй справе.
У артыкуле, пераклад якога мы сёння публікуем, прадстаўлены агляд 7 апенсорсных інструментаў для маніторынгу бяспекі хмарных сістэм. Гэтыя прылады прызначаны для абароны ад хакераў і кіберзлачынцаў шляхам дэтэктавання анамалій і небяспечных дзеянняў.
1. Osquery
- Гэта сістэма для нізкаўзроўневага маніторынгу і аналізу аперацыйных сістэм, якая дазваляе спецыялістам у галіне бяспекі праводзіць складаныя даследаванні дадзеных з выкарыстаннем SQL. Фрэймворк Osquery можа працаваць на Linux, macOS, Windows і FreeBSD. Ён уяўляе аперацыйную сістэму (АС) у выглядзе высокапрадукцыйнай рэляцыйнай базы дадзеных. Гэта дазваляе адмыслоўцам па бяспецы даследаваць АС шляхам выканання SQL-запытаў. Напрыклад, з дапамогай запыту можна пазнаць пра выкананыя працэсы, пра загружаныя модулі ядра, пра адчыненыя сеткавыя злучэнні, пра ўсталяваныя пашырэнні браўзэра, пра апаратныя падзеі, пра хэш-сумах файлаў.
Фрэймворк Osquery створаны Facebook. Яго код быў адкрыты ў 2014 годзе, пасля таго, як кампанія зразумела, што ў інструментах для назірання за нізкаўзроўневымі механізмамі аперацыйных сістэм мае патрэбу не толькі яна сама. З тых часоў Osquery карыстаюцца адмыслоўцы з такіх кампаній, як Dactiv, Google, Kolide, Trail of Bits, Uptycs, ды і са шматлікіх іншых. Нядаўна было аб тым, што Linux Foundation і Facebook збіраюцца сфарміраваць фонд падтрымкі Osquery.
Дэман маніторынгу хастоў Osquery, званы osqueryd, дазваляе планаваць выкананне запытаў, накіраваных на збор дадзеных са ўсёй інфраструктуры арганізацыі. Дэман збірае вынікі запытаў і стварае часопісы, якія адлюстроўваюць змену стану інфраструктуры. Гэта можа дапамагчы спецыялістам па бяспецы быць у курсе стану спраў у сістэме і асабліва карысна для выяўлення анамалій. Магчымасці Osquery па агрэгацыі часопісаў можна выкарыстоўваць для палягчэння пошуку вядомых і невядомых шкоднасных праграм, а таксама для выяўлення месцаў пранікнення зламыснікаў у сістэму і для пошуку ўсталяваных імі праграм. матэрыял, у якім можна знайсці падрабязнасці аб выяўленні анамалій з дапамогай Osquery.
2. GoAudit
Сістэма складаецца з двух асноўных кампанентаў. Першы - гэта нейкі код ўзроўню ядра, прызначаны для перахопу і маніторынгу сістэмных выклікаў. Другі кампанент - гэта дэман, які працуе ў карыстацкай прасторы, званы . Ён адказвае за запіс на дыск вынікаў аўдыту. , сістэма, створаная кампаніяй і выпушчаная ў 2016 годзе, прызначаная для замены auditd. Яна мае палепшаныя магчымасці па лагаванні дзякуючы таму, што канвертуе шматрадковыя паведамленні аб падзеях, якія генерыруюцца сістэмай аўдыту Linux, у адзіныя BLOB-аб'екты JSON, што спрашчае аналіз. Дзякуючы GoAudit можна напроста звяртацца да механізмаў узроўня ядра па сетцы. Акрамя таго, можна ўключыць мінімальнае фільтраванне падзей на самім хасце (ці цалкам адключыць фільтраванне). Пры гэтым GoAudit – гэта праект, разлічаны не толькі на забеспячэнне бяспекі. Гэты інструмент задуманы як шматфункцыянальны сродак для спецыялістаў, якія займаюцца падтрымкай сістэм або распрацоўкай. Ён дапамагае дужацца з праблемамі ў буйнамаштабных інфраструктурах.
Сістэма GoAudit напісана на Golang. Гэта - тыпабяспечны і высокапрадукцыйная мова. Перад усталёўкай GoAudit праверце, каб наяўная ў вас версія Golang была б вышэй 1.7.
3. Grapl
праект (Graph Analytics Platform) быў пераведзены ў разрад апенсорных у сакавіку мінулага года. Гэта - параўнальна новая платформа для выяўлення праблем з бяспекай, для правядзення кампутарнай крыміналістычнай экспертызы і для фарміравання справаздач аб здарэннях. Атакуючыя часта працуюць, карыстаючыся чымсьці накшталт мадэлі графа, атрымліваючы кантроль над нейкай асобнай сістэмай і займаючыся даследаваннем іншых сеткавых сістэм, пачынальна з гэтай сістэмы. Таму цалкам натуральна тое, што і абаронцы сістэм будуць выкарыстоўваць механізм, заснаваны на мадэлі графа сувязяў сеткавых сістэм, якая ўлічвае асаблівасці адносін паміж сістэмамі. Grapl дэманструе спробу прымянення мер па выяўленні інцыдэнтаў і па рэагаванні на іх, грунтуючыся на мадэлі графа, а не на мадэлі часопіса.
Інструмент Grapl прымае часопісы, якія маюць дачыненне да бяспекі (логі Sysmon або логі ў звычайным фармаце JSON) і канвертуе іх у падграфы (вызначаючы "ідэнтыфікацыйную інфармацыю" для кожнага вузла). Пасля гэтага ён аб'ядноўвае падграфы ў агульны граф (Master Graph), які ўяўляе сабой дзеянні, выкананыя ў аналізаваных акружэннях. Затым Grapl запускае на атрыманым графе аналізатары (Analyzers) з выкарыстаннем "сігнатур атакавалага" для выяўлення анамалій і падазроных патэрнаў. Калі аналізатар выяўляе падазроны падграф, Grapl генеруе канструкт Engagement, прызначаны для правядзення расследаванняў. Engagement – гэта Python-клас, які можна загрузіць, напрыклад, у Jupyter Notebook, разгорнуты ў асяроддзі AWS. Grapl, акрамя таго, умее павялічваць маштабы збору інфармацыі для расследавання інцыдэнту праз пашырэнне графа.
Калі вы хочаце лепш разабрацца з Grapl - можаце паглядзець цікавае відэа - запіс выступу з BSides Las Vegas 2019.
4. OSSEC
- Гэта праект, заснаваны ў 2004 годзе. Гэты праект, у цэлым, можна ахарактарызаваць як апенсорсную платформу маніторынгу бяспекі, разлічаную на аналіз хастоў і на выяўленне ўварванняў. У год OSSEC загружаюць больш за 500000 разоў. Гэтую платформу выкарыстоўваюць, у асноўным, як сродак выяўлення ўварванняў на серверы. Прычым, гаворка ідзе як аб лакальных, так і аб хмарных сістэмах. OSSEC, акрамя таго, часта выкарыстоўваюць як інструмент для даследавання часопісаў маніторынгу і аналізу файрвалаў, сістэм выяўлення ўварванняў, вэб-сервераў, а таксама для вывучэння часопісаў аўтэнтыфікацыі.
OSSEC камбінуе магчымасці хаставой сістэмы выяўлення ўварванняў (HIDS, Host-Based Intrusion Detection System) з сістэмай кіравання інцыдэнтамі ў сферы бяспекі (SIM, Security Incident Management) і з сістэмай кіравання інфармацыяй аб бяспецы і падзеямі бяспекі (SIEM, Security Information and Event Management) . OSSEC, акрамя таго, умее выконваць маніторынг цэласнасці файлаў у рэальным часе. Гэта, напрыклад, маніторынг рэестра Windows, выяўленне руткітаў. OSSEC умее апавяшчаць зацікаўленых асоб аб выяўленых праблемах у рэжыме рэальнага часу і дапамагае аператыўна рэагаваць на знойдзеныя пагрозы. Гэтая платформа падтрымлівае Microsoft Windows і большасць сучасных Unix-падобных сістэм, у тым ліку Linux, FreeBSD, OpenBSD і Solaris.
Платформа OSSEC складаецца з цэнтральнай кіравальнай сутнасці, мэнэджара, выкарыстоўванага для атрымання і маніторынгу інфармацыі ад агентаў (маленькіх праграм, усталяваных у сістэмах, якія трэба маніторыць). Мэнэджар усталёўваецца на Linux-сістэме, якая захоўвае базу дадзеных, выкарыстоўваную для праверкі цэласнасці файлаў. Яна, акрамя таго, захоўвае часопісы і запісы аб падзеях і аб выніках аўдыту сістэм.
Падтрымкай праекту OSSEC у наш час займаецца кампанія Atomicorp. Кампанія курыруе бясплатную апенсорную версію, і, акрамя таго, прапануе камерцыйную версію прадукта. падкаст, у якім менеджэр праекта OSSEC распавядае аб свежай версіі сістэмы – OSSEC 3.0. Там жа гаворка ідзе пра гісторыю праекта, і пра тое, чым ён адрозніваецца ад сучасных камерцыйных сістэм, якія выкарыстоўваюцца ў сферы камп'ютарнай бяспекі.
5. Сурыкат
- гэта апенсорсны праект, арыентаваны на рашэнне асноўных задач забеспячэння кампутарнай бяспекі. У прыватнасці, у яго склад уваходзіць сістэма выяўлення ўварванняў, сістэма прадухілення ўварванняў, інструмент для маніторынгу сеткавай бяспекі.
Гэты прадукт зьявіўся ў 2009 годзе. Яго праца заснавана на правілах. Гэта значыць - у таго, хто ім карыстаецца, ёсць магчымасць апісаць нейкія асаблівасці сеткавага трафіку. Калі правіла спрацоўвае, то Suricata генеруе апавяшчэнне, блакуючы або раздзіраючы падазронае злучэнне, што, ізноў жа, залежыць ад зададзеных правіл. Праект, акрамя таго, падтрымлівае працу ў шматструменным рэжыме. Гэта дае магчымасць хуткай апрацоўкі вялікай колькасці правіл у сетках, па якіх праходзяць вялікія аб'ёмы трафіку. Дзякуючы падтрымцы шматструменнасці суцэль звычайны сервер здольны паспяхова аналізаваць трафік, ідучы на хуткасці ў 10 Гбіт/з. Пры гэтым адміністратару не даводзіцца абмяжоўваць набор правілаў, якія выкарыстоўваюцца для аналізу трафіку. Suricata, акрамя таго, падтрымлівае хэшаванне і выманне файлаў.
Suricata можна наладзіць у разліку на працу на звычайных серверах або на віртуальных машынах, напрыклад, у AWS, з выкарыстаннем нядаўна якая з'явілася ў прадукце магчымасці .
Праект падтрымлівае Lua-скрыпты, з дапамогай якіх можна ствараць складаную і дэталізаваную логіку аналізу сігнатур пагроз.
Праектам Suricata займаецца Open Information Security Foundation (OISF).
6. Zeek (Bro)
Як і Suricata, (гэты праект раней называўся Bro і быў перайменаваны ў Zeek на мерапрыемстве BroCon 2018) - гэта таксама сістэма для выяўлення ўварванняў і інструмент для маніторынгу сеткавай бяспекі, які можа выяўляць анамаліі, такія, як падазроныя або небяспечныя дзеянні. Zeek адрозніваецца ад традыцыйных IDS тым, што, у адрозненне ад сістэм, заснаваных на правілах, якія выяўляюць выключэнні, Zeek яшчэ і захоплівае метададзеныя, злучаныя з адбывалым у сетцы. Робіцца гэта для таго, каб лепш зразумець кантэкст незвычайных сеткавых паводзін. Гэта дазваляе, напрыклад, аналізуючы HTTP-выклік ці працэдуру абмену сертыфікатамі бяспекі, зірнуць на пратакол, на загалоўкі пакетаў, на даменныя імёны.
Калі разглядаць Zeek як прылада сеткавай бяспекі, то тут можна сказаць, што ён дае адмыслоўцу магчымасць правесці расследаванне здарэння, пазнаўшы аб тым, што адбылося да або падчас інцыдэнту. Zeek, акрамя таго, канвертуе дадзеныя аб сеткавым трафіку ў высокаўзроўневыя падзеі і дае магчымасць працаваць з інтэрпрэтатарам скрыптоў. Інтэрпрэтатар падтрымлівае мову праграмавання, які выкарыстоўваецца для арганізацыі ўзаемадзеяння з падзеямі і для высвятлення таго, што менавіта азначаюць гэтыя падзеі ў плане сеткавай бяспекі. Мова праграмавання Zeek можа выкарыстоўвацца для налады інтэрпрэтацыі метададзеных так, як трэба канкрэтнай арганізацыі. Ён дазваляе будаваць складаныя лагічныя ўмовы з выкарыстаннем аператараў AND, OR і NOT. Гэта дае карыстальнікам магчымасць настройваць працэдуру аналізу іх акружэнняў. Праўда, трэба адзначыць, што, у параўнанні з Suricata, Zeek можа здацца дастаткова складаным інструментам пры правядзенні разведкі пагроз бяспецы.
Калі вас цікавяць падрабязнасці пра Zeek – звернецеся да відэа.
7. Пантэра
- Гэта магутная, першапачаткова арыентаваная на працу ў воблаку платформа для арганізацыі бесперапыннага маніторынгу бяспекі. Яна была пераведзена ў разрад апенсорных нядаўна. Каля вытокаў праекта стаіць асноўны архітэктар - рашэнні для аўтаматызаванага аналізу часопісаў, код якога адкрыла кампанія Airbnb. Panther дае карыстачу адзіную сістэму для цэнтралізаванага выяўлення пагроз ва ўсіх асяродках і для арганізацыі рэакцыі на іх. Гэтая сістэма здольная расці разам з памерам абслугоўваемай інфраструктуры. Выяўленне пагроз арганізавана з дапамогай празрыстых дэтэрміністычных правілаў, што зроблена для таго, каб знізіць працэнт прытворнададатных спрацоўванняў і знізіць узровень непатрэбнай нагрузкі на спецыялістаў па бяспецы.
Сярод асноўных магчымасцяў Panther можна адзначыць наступныя:
- Выяўленне неаўтарызаванага доступу да рэсурсаў шляхам аналізу часопісаў.
- Пошук пагроз, рэалізаваны праз пошук у часопісах паказчыкаў, якія паказваюць на праблемы з бяспекай. Пошук праводзіцца з выкарыстаннем стандартызаваных палёў даных Panter.
- Праверка сістэмы на адпаведнасць стандартам SOC/PCI/HIPAA з выкарыстаннем механізмаў Panther.
- Абарона хмарных рэсурсаў дзякуючы аўтаматычнаму выпраўленню памылак у канфігураванні, якія, калі імі скарыстаюцца зламыснікі, здольныя прывесці да ўзнікнення сур'ёзных праблем.
Panther разгортваецца ў AWS-воблаку арганізацыі з дапамогай AWS CloudFormation. Гэта дазваляе карыстачу заўсёды кантраляваць яго дадзеныя.
Вынікі
Маніторынг бяспекі сістэм - гэта, у нашы дні, найважнейшая задача. У рашэнні гэтай задачы кампаніям любога маштабу могуць дапамагчы апенсорсныя прылады, якія даюць масу магчымасцяў і амаль нічога не стаячыя або бясплатныя.
Паважаныя чытачы! Якімі прыладамі для маніторынгу бяспекі вы карыстаецеся?
Крыніца: habr.com