Široko usvajanje računarstva u oblaku pomaže kompanijama da skaliraju svoje poslovanje. Ali upotreba novih platformi znači i pojavu novih prijetnji. Podržavanje vlastitog tima unutar organizacije odgovorne za praćenje sigurnosti cloud servisa nije lak zadatak. Postojeći alati za praćenje su skupi i spori. Njima je, u određenoj mjeri, teško upravljati ako trebate osigurati sigurnost velike infrastrukture oblaka. Kompanije koje žele da svoju sigurnost u oblaku zadrže na visokom nivou zahtijevaju alate koji su moćni, fleksibilni i razumljivi iznad onoga što je ranije bilo dostupno. Ovdje vrlo dobro dolaze tehnologije otvorenog koda, koje pomažu u uštedi budžeta za sigurnost i kreiraju ih stručnjaci koji znaju mnogo o svom poslovanju.
Članak, čiji prijevod danas objavljujemo, daje pregled 7 alata otvorenog koda za praćenje sigurnosti cloud sistema. Ovi alati su dizajnirani da zaštite od hakera i sajber kriminalaca otkrivanjem anomalija i nesigurnih aktivnosti.
1. Osquery
je sistem za praćenje i analizu operativnih sistema niskog nivoa koji omogućava profesionalcima u oblasti bezbednosti da provode složeno rudarenje podataka koristeći SQL. Osquery framework može raditi na Linuxu, macOS-u, Windowsu i FreeBSD-u. On predstavlja operativni sistem (OS) kao relacionu bazu podataka visokih performansi. Ovo omogućava stručnjacima za sigurnost da istražuju OS izvršavanjem SQL upita. Na primjer, pomoću upita možete saznati o pokrenutim procesima, o učitanim modulima kernela, o otvorenim mrežnim vezama, o instaliranim ekstenzijama pretraživača, o hardverskim događajima, o hash zbrojima datoteka.
Okvir Osquery kreirao je Facebook. Njegov kod je otvoren 2014. godine, nakon što je kompanija shvatila da nije samo sama kompanija potrebna alatima za praćenje mehanizama niskog nivoa operativnih sistema. Od tada, Osquery koriste stručnjaci iz kompanija kao što su Dactiv, Google, Kolide, Trail of Bits, Uptycs i mnoge druge. Nedavno je bilo da će Linux fondacija i Facebook formirati fond za podršku Osqueryju.
Osqueryjev host monitoring demon, nazvan osqueryd, omogućava vam da zakažete upite koji prikupljaju podatke iz cijele infrastrukture vaše organizacije. Daemon prikuplja rezultate upita i kreira dnevnike koji odražavaju promjene u stanju infrastrukture. Ovo može pomoći sigurnosnim stručnjacima da budu u toku sa stanjem u sistemu i posebno je korisno za otkrivanje anomalija. Osquery-jeve mogućnosti agregiranja dnevnika mogu se koristiti za olakšavanje pretrage poznatog i nepoznatog zlonamjernog softvera, kao i za identifikaciju gdje su uljezi ušli u sistem i za pronalaženje programa koje su instalirali. materijal, gdje možete pronaći detalje o otkrivanju anomalija pomoću Osqueryja.
2.GoAudit
sistem sastoji se od dvije glavne komponente. Prvi je neki kod na nivou kernela dizajniran za presretanje i praćenje sistemskih poziva. Druga komponenta je demon korisničkog prostora koji se zove . Odgovoran je za pisanje rezultata revizije na disk. , sistem koji je kreirala kompanija i objavljen 2016. godine namijenjen je zamjeni revidiranih. Poboljšane su mogućnosti evidentiranja konvertiranjem višerednih poruka o događajima koje generiše Linux sistem revizije u pojedinačne JSON blobove, što olakšava raščlanjivanje. Zahvaljujući GoAuditu, možete direktno pristupiti mehanizmima nivoa kernela preko mreže. Osim toga, možete omogućiti minimalno filtriranje događaja na samom hostu (ili potpuno onemogućiti filtriranje). Istovremeno, GoAudit je projekt dizajniran ne samo za sigurnost. Ovaj alat je namijenjen da bude multifunkcionalni alat za profesionalce za podršku sistema ili razvoj. Pomaže u rješavanju problema u infrastrukturi velikih razmjera.
GoAudit sistem je napisan na Golangu. To je jezik koji je siguran za tipove i ima visoke performanse. Prije instaliranja GoAudita, provjerite je li vaša verzija Golanga viša od 1.7.
3 Grapl
Projekat (Graph Analytics Platform) prebačen je u kategoriju otvorenog koda u martu prošle godine. To je relativno nova platforma za otkrivanje sigurnosnih problema, za provođenje kompjuterske forenzike i za generiranje izvještaja o incidentima. Napadači često rade koristeći nešto poput modela grafa, stječući kontrolu nad određenim sistemom i istražujući druge umrežene sisteme počevši od tog sistema. Stoga je sasvim prirodno da će zaštitnici sistema koristiti i mehanizam zasnovan na modelu grafa povezivanja mrežnih sistema, koji uzima u obzir posebnosti odnosa između sistema. Grapl demonstrira pokušaj primjene mjera detekcije incidenata i odgovora na osnovu modela grafa umjesto modela dnevnika.
Alat Grapl uzima dnevnike vezane za sigurnost (Sysmon dnevnike ili obične JSON dnevnike) i pretvara ih u podgrafove (definirajući "informacije o identitetu" za svaki čvor). Nakon toga kombinuje podgrafove u opšti graf (Master Graph), koji predstavlja radnje izvršene u analiziranom okruženju. Grapl zatim pokreće analizatore na rezultirajućem grafu koristeći "potpise napadača" da otkrije anomalije i sumnjive obrasce. Kada parser detektuje sumnjiv podgraf, Grapl generiše konstrukciju angažovanja za istraživanje. Engagement je Python klasa koja se može učitati u, na primjer, Jupyter Notebook raspoređen u AWS okruženju. Grapl također može povećati prikupljanje informacija za istragu incidenta kroz proširenje grafa.
Ako želite da postanete bolji sa Grapl-om, možete pogledati Zanimljiv video je snimak nastupa sa BSides Las Vegas 2019.
4 OSSEC
je projekat osnovan 2004. Ovaj projekat se općenito može opisati kao platforma za sigurnosno praćenje otvorenog koda dizajnirana za analizu hosta i otkrivanje upada. OSSEC se preuzima preko 500000 puta godišnje. Ova platforma se uglavnom koristi kao alat za otkrivanje upada na server. Štaviše, govorimo i o lokalnim i o cloud sistemima. OSSEC se takođe često koristi kao alat za ispitivanje dnevnika praćenja i analizu zaštitnih zidova, sistema za otkrivanje upada, web servera i za ispitivanje evidencije autentifikacije.
OSSEC kombinuje sistem detekcije upada zasnovanog na hostu (HIDS) sa upravljanjem bezbednosnim incidentima (SIM) i upravljanjem bezbednosnim informacijama i događajima (SIEM). OSSEC je takođe u mogućnosti da prati integritet fajlova u realnom vremenu. Ovo je, na primjer, nadgledanje Windows registra, otkrivanje rootkita. OSSEC je u stanju da obavesti zainteresovane strane o otkrivenim problemima u realnom vremenu i pomaže u brzom reagovanju na otkrivene pretnje. Ova platforma podržava Microsoft Windows i najmodernije sisteme slične Unixu, uključujući Linux, FreeBSD, OpenBSD i Solaris.
OSSEC platforma se sastoji od centralnog kontrolnog entiteta, menadžera koji se koristi za primanje i praćenje informacija od agenata (mali programi instalirani na sistemima koji se nadgledaju). Menadžer je instaliran na Linux sistemu koji čuva bazu podataka koja se koristi za provjeru integriteta datoteka. Takođe čuva dnevnike i zapise o događajima i rezultatima revizije sistema.
Projekat OSSEC trenutno podržava Atomicorp. Kompanija kurira besplatnu verziju otvorenog koda i, pored toga, nudi komercijalnu verziju proizvoda. podcast u kojem OSSEC projekt menadžer govori o najnovijoj verziji sistema - OSSEC 3.0. Takođe govori o istoriji projekta, i po čemu se razlikuje od savremenih komercijalnih sistema koji se koriste u oblasti računarske bezbednosti.
5. meerkat
je projekat otvorenog koda fokusiran na rešavanje glavnih problema računarske bezbednosti. Konkretno, uključuje sistem za otkrivanje upada, sistem za prevenciju upada i alat za praćenje sigurnosti mreže.
Ovaj proizvod je lansiran 2009. godine. Njegov rad je zasnovan na pravilima. Odnosno, onaj ko ga koristi ima priliku da opiše određene karakteristike mrežnog saobraćaja. Ako se pravilo aktivira, tada Suricata generira obavijest, blokira ili prekida sumnjivu vezu, što opet ovisi o postavljenim pravilima. Projekat takođe podržava višenitnost. Ovo omogućava brzu obradu velikog broja pravila u mrežama koje prenose velike količine saobraćaja. Zahvaljujući podršci za multithreading, sasvim običan server može uspješno analizirati promet brzinom od 10 Gb/s. U ovom slučaju, administrator ne mora ograničavati skup pravila koja se koriste za analizu saobraćaja. Suricata takođe podržava heširanje i ekstrakciju datoteka.
Suricata se može konfigurirati da radi na redovnim serverima ili na virtuelnim mašinama, kao što je AWS, koristeći funkciju nedavno dodanu u proizvod .
Projekat podržava Lua skripte koje se mogu koristiti za kreiranje složene i detaljne logike analize potpisa pretnji.
Projektom Suricata upravlja Open Information Security Foundation (OISF).
6. Zeek (Bro)
Kao Suricata, (ovaj projekt se ranije zvao Bro i preimenovan je u Zeek na BroCon 2018 događaju) je također sistem za otkrivanje upada i alat za praćenje sigurnosti mreže koji može otkriti anomalije kao što su sumnjive ili opasne aktivnosti. Zeek se razlikuje od tradicionalnog IDS-a po tome što, za razliku od sistema zasnovanih na pravilima koji otkrivaju izuzetke, Zeek takođe hvata metapodatke koji se odnose na ono što se dešava na mreži. Ovo se radi kako bi se bolje razumio kontekst neobičnog ponašanja mreže. Ovo omogućava, na primjer, kada analizirate HTTP poziv ili proceduru za razmjenu sigurnosnih certifikata, da pogledate protokol, zaglavlja paketa, imena domena.
Ako Zeek smatramo alatom za mrežnu sigurnost, onda možemo reći da on daje stručnjaku priliku da istraži incident tako što će saznati šta se dogodilo prije ili tokom incidenta. Zeek takođe pretvara podatke o mrežnom saobraćaju u događaje visokog nivoa i omogućava rad sa tumačem skripte. Tumač podržava programski jezik koji se koristi za interakciju sa događajima i za otkrivanje tačno šta ti događaji znače u smislu bezbednosti mreže. Programski jezik Zeek može se koristiti za prilagođavanje interpretacije metapodataka prema potrebi određene organizacije. Omogućava vam da izgradite složene logičke uslove koristeći I, OR i NOT operatore. Ovo korisnicima daje mogućnost da prilagode način na koji se analiziraju njihova okruženja. Istina, treba napomenuti da, u poređenju sa Suricatom, Zeek može izgledati kao prilično komplicirano oruđe prilikom obavljanja obavještajnih podataka o sigurnosnim prijetnjama.
Ako ste zainteresovani za više detalja o Zeeku, kontaktirajte video.
7. Panter
je moćna platforma zasnovana na oblaku za kontinuirano praćenje sigurnosti. Nedavno je prebačen u kategoriju otvorenog koda. U početku projekta je glavni arhitekta je rješenje za automatiziranu analizu časopisa, čiji je kod otvoren kod Airbnb-a. Panther daje korisniku jedinstven sistem za centralno otkrivanje i reagovanje na pretnje u svim okruženjima. Ovaj sistem može rasti s veličinom infrastrukture koja se opslužuje. Otkrivanje prijetnji organizirano je korištenjem transparentnih determinističkih pravila kako bi se smanjili lažni pozitivni rezultati i smanjio nepotrebno opterećenje za sigurnosne profesionalce.
Među glavnim karakteristikama Panthera su sljedeće:
- Otkrivanje neovlaštenog pristupa resursima analizom dnevnika.
- Skeniranje prijetnji implementirano pretraživanjem dnevnika za indikatore koji ukazuju na sigurnosne probleme. Pretraživanje se vrši korišćenjem standardizovanih Panter polja podataka.
- Provjera sistema za SOC/PCI/HIPAA usklađenost pomoću Panter mehanizmi.
- Zaštitite svoje resurse u oblaku automatskim ispravljanjem grešaka u konfiguraciji koje, ako se iskoriste, mogu uzrokovati ozbiljne probleme.
Panther je raspoređen u AWS oblaku organizacije koristeći AWS CloudFormation. Ovo omogućava korisniku da uvijek ima kontrolu nad svojim podacima.
Ishodi
Nadgledanje sigurnosti sistema danas je najvažniji zadatak. Alati otvorenog koda mogu pomoći kompanijama svih veličina da riješe ovaj problem, pružajući mnogo mogućnosti i gotovo ništa skupo ili besplatno.
Dragi čitaoci! Koje alate za nadzor sigurnosti koristite?
izvor: www.habr.com