L'adopció generalitzada de la computació en núvol ajuda les empreses a escalar el seu negoci. Però l'ús de noves plataformes també suposa l'aparició de noves amenaces. Donar suport al vostre propi equip dins de l'organització responsable de supervisar la seguretat dels serveis al núvol no és una tasca fàcil. Les eines de control existents són cares i lentes. Són, fins a cert punt, difícils de gestionar si cal garantir la seguretat d'una infraestructura de núvol a gran escala. Les empreses que busquen mantenir la seva seguretat al núvol a un alt nivell necessiten eines potents, flexibles i comprensibles més enllà del que estava disponible abans. Aquí és on són molt útils les tecnologies de codi obert, que ajuden a estalviar pressupostos per a la seguretat i són creades per especialistes que saben molt sobre el seu negoci.
L'article, la traducció del qual publiquem avui, ofereix una visió general de 7 eines de codi obert per supervisar la seguretat dels sistemes al núvol. Aquestes eines estan dissenyades per protegir contra els pirates informàtics i els ciberdelinqüents mitjançant la detecció d'anomalies i activitats insegures.
1. Osqueria
és un sistema de seguiment i anàlisi de baix nivell de sistemes operatius que permet als professionals de la seguretat dur a terme mineria de dades complexa mitjançant SQL. El marc Osquery es pot executar a Linux, macOS, Windows i FreeBSD. Presenta el sistema operatiu (SO) com una base de dades relacional d'alt rendiment. Això permet als professionals de la seguretat explorar el sistema operatiu executant consultes SQL. Per exemple, mitjançant una consulta, podeu obtenir informació sobre els processos en execució, sobre els mòduls del nucli carregats, sobre les connexions de xarxa obertes, sobre les extensions del navegador instal·lades, sobre els esdeveniments de maquinari, sobre les sumes hash de fitxers.
El marc Osquery va ser creat per Facebook. El seu codi es va obrir l'any 2014, després que l'empresa es va adonar que no només la mateixa empresa necessitava eines per controlar els mecanismes de baix nivell dels sistemes operatius. Des de llavors, Osquery ha estat utilitzat per experts d'empreses com Dactiv, Google, Kolide, Trail of Bits, Uptycs i moltes altres. Recentment ho va ser que la Fundació Linux i Facebook crearan un fons per donar suport a Osquery.
El dimoni de supervisió d'amfitrió d'Osquery, anomenat osqueryd, us permet programar consultes que recullen dades de tota la infraestructura de la vostra organització. El dimoni recull els resultats de la consulta i crea registres que reflecteixen els canvis en l'estat de la infraestructura. Això pot ajudar els professionals de la seguretat a mantenir-se al dia de l'estat de les coses del sistema i és especialment útil per detectar anomalies. Les capacitats d'agregació de registres d'Osquery es poden utilitzar per facilitar la cerca de programari maliciós conegut i desconegut, així com per identificar on els intrusos han entrat al sistema i per trobar els programes que han instal·lat. material, on podeu trobar detalls sobre la detecció d'anomalies mitjançant Osquery.
2.GoAudit
Sistema consta de dos components principals. El primer és un codi a nivell del nucli dissenyat per interceptar i supervisar les trucades del sistema. El segon component és un dimoni d'espai d'usuari anomenat . És responsable d'escriure els resultats de l'auditoria al disc. , un sistema creat per l'empresa i publicat el 2016 està pensat per substituir auditd. Ha millorat les capacitats de registre convertint els missatges d'esdeveniments de diverses línies generats pel sistema d'auditoria Linux en blobs JSON únics, cosa que facilita l'anàlisi. Gràcies a GoAudit, podeu accedir directament als mecanismes del nivell del nucli a través de la xarxa. A més, podeu habilitar el filtratge d'esdeveniments mínims al propi amfitrió (o desactivar el filtratge completament). Al mateix temps, GoAudit és un projecte dissenyat no només per a la seguretat. Aquesta eina està pensada per ser una eina multifuncional per a professionals de suport o desenvolupament de sistemes. Ajuda a fer front a problemes en infraestructures a gran escala.
El sistema GoAudit està escrit en Golang. És un llenguatge segur i d'alt rendiment. Abans d'instal·lar GoAudit, assegureu-vos que la vostra versió de Golang sigui superior a 1.7.
3 Grapl
Projecte (Graph Analytics Platform) es va transferir a la categoria de codi obert el març de l'any passat. Es tracta d'una plataforma relativament nova per detectar problemes de seguretat, per a la realització d'informàtica forense i per generar informes d'incidències. Els atacants sovint treballen utilitzant alguna cosa com un model gràfic, obtenint el control d'un sistema determinat i explorant altres sistemes en xarxa a partir d'aquest sistema. Per tant, és força natural que els defensors del sistema també utilitzin un mecanisme basat en el model de gràfics de connexió de sistemes de xarxa, que tingui en compte les peculiaritats de les relacions entre sistemes. Grapl demostra un intent d'aplicar mesures de detecció i resposta d'incidències basades en un model gràfic en lloc d'un model de registre.
L'eina Grapl pren registres relacionats amb la seguretat (registres de Symon o registres JSON senzills) i els converteix en subgrafs (que defineixen "informació d'identitat" per a cada node). Després d'això, combina els subgrafs en un gràfic general (Master Graph), que representa les accions realitzades en els entorns analitzats. A continuació, Grapl executa els analitzadors al gràfic resultant utilitzant "signatures d'atacant" per detectar anomalies i patrons sospitosos. Quan l'analitzador detecta un subgraf sospitós, Grapl genera una construcció Engagement per investigar. Engagement és una classe de Python que es pot carregar, per exemple, en un bloc de notes Jupyter desplegat en un entorn AWS. Grapl també és capaç d'escalar la recopilació d'informació per a la investigació de l'incident mitjançant l'ampliació del gràfic.
Si voleu millorar amb Grapl, podeu mirar Un vídeo interessant és una gravació d'una actuació de BSides Las Vegas 2019.
4 OSSEC
és un projecte fundat l'any 2004. Aquest projecte, en general, es pot descriure com una plataforma de control de seguretat de codi obert dissenyada per a l'anàlisi de l'amfitrió i la detecció d'intrusions. OSSEC es descarrega més de 500000 vegades l'any. Aquesta plataforma s'utilitza principalment com a eina de detecció d'intrusions en el servidor. A més, estem parlant tant de sistemes locals com de núvol. OSSEC també s'utilitza sovint com a eina per examinar els registres de supervisió i analitzar tallafocs, sistemes de detecció d'intrusions, servidors web i per examinar registres d'autenticació.
OSSEC combina el sistema de detecció d'intrusions basat en host (HIDS) amb la gestió d'incidències de seguretat (SIM) i la gestió d'esdeveniments i informació de seguretat (SIEM). OSSEC també és capaç de controlar la integritat dels fitxers en temps real. Això és, per exemple, supervisar el registre de Windows, detectar rootkits. L'OSSEC és capaç d'informar a les parts interessades sobre els problemes detectats en temps real i ajuda a respondre ràpidament a les amenaces detectades. Aquesta plataforma és compatible amb Microsoft Windows i els sistemes més moderns semblants a Unix, inclosos Linux, FreeBSD, OpenBSD i Solaris.
La plataforma OSSEC consta d'una entitat de control central, un gestor que serveix per rebre i controlar la informació dels agents (petits programes instal·lats en sistemes a monitoritzar). El gestor s'instal·la en un sistema Linux que manté una base de dades utilitzada per comprovar la integritat dels fitxers. També manté registres i registres d'esdeveniments i resultats d'auditoria del sistema.
El projecte OSSEC compta actualment amb el suport d'Atomicorp. L'empresa selecciona una versió gratuïta de codi obert i, a més, ofereix versió comercial del producte. un podcast en què el responsable del projecte OSSEC parla de la darrera versió del sistema - OSSEC 3.0. També parla de la història del projecte i de com es diferencia dels moderns sistemes comercials utilitzats en l'àmbit de la seguretat informàtica.
5. Suricata
és un projecte de codi obert enfocat a resoldre els principals problemes de seguretat informàtica. En particular, inclou un sistema de detecció d'intrusions, un sistema de prevenció d'intrusions i una eina de control de seguretat de la xarxa.
Aquest producte es va llançar el 2009. El seu treball es basa en regles. És a dir, qui l'utilitza té l'oportunitat de descriure determinades característiques del trànsit de xarxa. Si s'activa la regla, llavors Suricata genera una notificació, bloquejant o trencant la connexió sospitosa, que, de nou, depèn de les regles establertes. El projecte també admet multithreading. Això fa possible processar ràpidament un gran nombre de regles en xarxes que transporten grans quantitats de trànsit. Gràcies al suport multithreading, un servidor bastant normal és capaç d'analitzar amb èxit el trànsit a una velocitat de 10 Gb/s. Al mateix temps, l'administrador no ha de limitar el conjunt de regles utilitzades per a l'anàlisi del trànsit. Suricata també admet l'extracció i l'extracció de fitxers.
Suricata es pot configurar per executar-se en servidors normals o en màquines virtuals, com ara AWS, mitjançant una funció afegida recentment al producte. .
El projecte admet scripts Lua que es poden utilitzar per crear una lògica d'anàlisi de signatura d'amenaça complexa i detallada.
El projecte Suricata està gestionat per la Open Information Security Foundation (OISF).
6. Zeek (germà)
Com Suricata, (aquest projecte abans s'anomenava Bro i va passar a anomenar-se Zeek a l'esdeveniment BroCon 2018) també és un sistema de detecció d'intrusions i una eina de control de la seguretat de la xarxa que pot detectar anomalies com activitats sospitoses o perilloses. Zeek es diferencia de l'IDS tradicional perquè, a diferència dels sistemes basats en regles que detecten excepcions, Zeek també captura metadades relacionades amb el que està passant a la xarxa. Això es fa per entendre millor el context del comportament inusual de la xarxa. Això permet, per exemple, quan s'analitza una trucada HTTP o un procediment d'intercanvi de certificats de seguretat, mirar el protocol, les capçaleres de paquets, els noms de domini.
Si considerem Zeek com una eina de seguretat de xarxa, podem dir que ofereix a un especialista l'oportunitat d'investigar un incident aprenent sobre què va passar abans o durant l'incident. Zeek també converteix les dades del trànsit de la xarxa en esdeveniments d'alt nivell i fa possible treballar amb un intèrpret d'scripts. L'intèrpret admet el llenguatge de programació que s'utilitza per interactuar amb esdeveniments i per esbrinar exactament què signifiquen aquests esdeveniments en termes de seguretat de la xarxa. El llenguatge de programació Zeek es pot utilitzar per personalitzar la interpretació de metadades segons ho necessiti una organització concreta. Us permet crear condicions lògiques complexes utilitzant els operadors AND, OR i NOT. Això ofereix als usuaris la possibilitat de personalitzar com s'analitzen els seus entorns. És cert que cal tenir en compte que, en comparació amb Suricata, Zeek pot semblar una eina força complicada a l'hora de realitzar informació sobre amenaces de seguretat.
Si esteu interessats en més detalls sobre Zeek, poseu-vos en contacte vídeo.
7. Pantera
és una plataforma potent i nativa del núvol per a un seguiment continu de la seguretat. Recentment es va transferir a la categoria de codi obert. En els orígens del projecte hi ha l'arquitecte principal és una solució per a l'anàlisi automatitzada de revistes, el codi de les quals va ser de codi obert per Airbnb. Panther ofereix a l'usuari un sistema únic per detectar i respondre a les amenaces de manera centralitzada en tots els entorns. Aquest sistema és capaç de créixer amb la mida de la infraestructura que es serveix. La detecció d'amenaces s'organitza mitjançant regles deterministes transparents per reduir els falsos positius i reduir la càrrega de treball innecessària dels professionals de la seguretat.
Entre les principals característiques de Panther hi ha les següents:
- Detecció d'accés no autoritzat a recursos mitjançant l'anàlisi de registres.
- Escaneig d'amenaces implementat mitjançant la cerca en registres d'indicadors que indiquen problemes de seguretat. La cerca es realitza mitjançant camps de dades Panter estandarditzats.
- Comprovació del sistema per al compliment de SOC/PCI/HIPAA utilitzant Mecanismes de pantera.
- Protegiu els vostres recursos al núvol corregint automàticament els errors de configuració que, si s'aprofiten, poden causar problemes greus.
Panther es desplega al núvol AWS d'una organització mitjançant AWS CloudFormation. Això permet que l'usuari tingui sempre el control de les seves dades.
Resultats de
La supervisió de la seguretat dels sistemes és, en aquests dies, la tasca més important. Les eines de codi obert poden ajudar a les empreses de totes les mides a resoldre aquest problema, oferint moltes oportunitats i gairebé res de cost ni gratuït.
Benvolguts lectors! Quines eines de control de seguretat utilitzeu?
Font: www.habr.com