L'adopzione generalizata di l'informatica in nuvola aiuta l'imprese à scala a so attività. Ma l'usu di novi plataformi significa ancu l'emergenza di novi minacce. A sustegnu a vostra propria squadra in l'urganizazione rispunsevule per u monitoraghju di a sicurità di i servizii di nuvola ùn hè micca un compitu faciule. Strumenti di surviglianza esistenti sò caru è lenti. Sò, in una certa misura, difficiuli di gestisce s'ellu ci vole à assicurà a sicurità di una infrastruttura nuvola di grande scala. L'imprese chì cercanu di mantene a so sicurezza in nuvola à un altu livellu necessitanu strumenti chì sò putenti, flessibili è comprensibili oltre ciò chì hè statu dispunibule prima. Hè quì chì i tecnulugii open source sò assai utili, chì aiutanu à salvà u budget per a sicurità è sò creati da specialisti chì cunnosci assai di a so attività.
L'articulu, a traduzzione di quale avemu publicatu oghje, furnisce una panoramica di 7 strumenti open source per monitorizà a sicurità di i sistemi di nuvola. Questi strumenti sò pensati per pruteggiri contra i pirate è i cibercriminali detectendu anomalie è attività insicure.
1. Osqueria
hè un sistema per u monitoraghju è l'analisi di u livellu bassu di i sistemi operativi chì permette à i prufessiunali di sicurezza di fà mining di dati cumplessi cù SQL. U framework Osquery pò esse esecutatu in Linux, macOS, Windows è FreeBSD. Presenta u sistema operatore (OS) cum'è una basa di dati relazionale d'altu rendiment. Questu permette à i prufessiunali di sicurezza per scopre u SO eseguendu dumande SQL. Per esempiu, utilizendu una dumanda, pudete scopre nantu à i prucessi in esecuzione, nantu à i moduli di kernel caricati, nantu à e cunnessione di rete aperte, nantu à l'estensioni di u navigatore installatu, nantu à l'avvenimenti di hardware, nantu à i file hash sums.
U framework Osquery hè statu creatu da Facebook. U so codice hè statu apertu in u 2014, dopu chì a cumpagnia hà capitu chì ùn era micca solu a cumpagnia stessu chì avia bisognu di strumenti per monitorà i miccanismi di u sistema operatore di pocu livellu. Da tandu, Osquery hè stata utilizata da esperti di cumpagnie cum'è Dactiv, Google, Kolide, Trail of Bits, Uptycs è assai altri. Recentemente era chì a Fundazione Linux è Facebook anu da furmà un fondu per sustene Osquery.
U demone di monitoraghju di l'ospiti di Osquery, chjamatu osqueryd, permette di pianificà e dumande chì recullanu dati da tutta l'infrastruttura di a vostra urganizazione. U daemon raccoglie i risultati di a dumanda è crea logs chì riflettenu cambiamenti in u statu di l'infrastruttura. Questu pò aiutà i prufessiunali di sicurezza à mantene l'attualità di u statu di l'affari in u sistema è hè soprattuttu utile per a deteczione di anomalie. A capacità di aggregazione di log d'Osquery pò esse aduprata per facilità a ricerca di malware cunnisciutu è scunnisciutu, è ancu per identificà induve l'intrusi sò intruti in u sistema è per truvà i prugrammi chì anu stallatu. materiale, induve pudete truvà dettagli nantu à a rilevazione di anomalie cù Osquery.
2.GoAudit
sistemu custituitu di dui cumpunenti principali. U primu hè un codice à livellu di kernel cuncepitu per intercepte è monitorà e chjama di u sistema. U secondu cumpunente hè un daemon di u spaziu d'utilizatore chjamatu . Hè rispunsevuli di scrive i risultati di l'auditu à u discu. , un sistema creatu da a cumpagnia è liberatu in u 2016 hè destinatu à rimpiazzà audited. Hè migliuratu e capacità di registrazione cunvertisce i missaghji di eventi multi-line generati da u sistema di auditing Linux in blobs JSON unichi, rendendu più faciule da analizà. Grazie à GoAudit, pudete accede direttamente à i miccanismi di u nivellu di u kernel nantu à a reta. Inoltre, pudete attivà a filtrazione minima di l'avvenimenti nantu à l'ospitu stessu (o disattivà u filtru sanu). À u listessu tempu, GoAudit hè un prughjettu pensatu micca solu per a sicurità. Questu strumentu hè destinatu à esse un strumentu multifunzionale per i prufessiunali di supportu di u sistema o di sviluppu. Aiuta à trattà i prublemi in infrastrutture à grande scala.
U sistema GoAudit hè scrittu in Golang. Hè una lingua di tipu-safe è altu rendiment. Prima di stallà GoAudit, assicuratevi chì a vostra versione di Golang hè più altu ch'è 1.7.
3 Grapl
U prugettu (Graph Analytics Platform) hè stata trasferita à a categuria open source in marzu di l'annu passatu. Hè una piattaforma relativamente nova per a rilevazione di prublemi di sicurezza, per a realizazione di l'informatica forensica è per a generazione di rapporti di incidenti. L'attaccanti spessu travaglianu aduprendu qualcosa cum'è un mudellu di graficu, acquistendu u cuntrollu di un sistema particulari è esplorendu altri sistemi in rete partendu da quellu sistema. Per quessa, hè abbastanza naturale chì i difensori di u sistema anu ancu aduprà un mecanismu basatu annantu à u mudellu di gràficu di cunnessione di i sistemi di rete, chì piglia in contu e peculiarità di e relazioni trà i sistemi. Grapl dimostra un tentativu di applicà misure di rilevazione di incidenti è risposte basate nantu à un mudellu di graficu invece di un mudellu di log.
L'uttellu Grapl piglia logs in relazione à a sicurità (logs Symon o logs JSON pianu) è li cunvertisce in sottografi (definisce "informazioni d'identità" per ogni nodu). Dopu quì, combina i subgrafi in un gràficu generale (Master Graph), chì rapprisenta l'azzioni realizati in l'ambienti analizati. Grapl poi esegue Analizzatori nantu à u graficu risultatu utilizendu "signature di l'attaccante" per detectà anomalie è mudelli sospetti. Quandu l'analizzatore rileva un subgrafu suspettu, Grapl genera una custruzzione di Engagement per l'investigazione. Engagement hè una classe Python chì pò esse caricata in, per esempiu, un Jupyter Notebook implementatu in un ambiente AWS. Grapl hè ancu capaci di scala a cullizzioni di l'infurmazioni per l'investigazione di l'incidentu attraversu l'espansione di u graficu.
Se vulete megliu cù Grapl, pudete vede Un video interessante hè una registrazione di una performance da BSides Las Vegas 2019.
4 OSSEC
hè un prughjettu fundatu in u 2004. Stu prughjettu, in generale, pò esse qualificatu cum'è una piattaforma di surviglianza di sicurità open source pensata per l'analisi di l'ospiti è a rilevazione di intrusioni. OSSEC hè scaricatu più di 500000 XNUMX volte à l'annu. Sta piattaforma hè principalmente usata cum'è strumentu di rilevazione di intrusioni di u servitore. Inoltre, parlemu di sistemi lucali è di nuvola. OSSEC hè ancu spessu usatu cum'è strumentu per esaminà i logs di monitoraghju è analizà i firewalls, i sistemi di rilevazione di intrusioni, i servitori web, è per esaminà i logs di autentificazione.
OSSEC combina u Sistema di Rilevazione di Intrusioni Basatu in Host (HIDS) cù a Gestione di Incidenti di Sicurezza (SIM) è a Gestione di l'Informazioni di Sicurezza è di l'Eventi (SIEM). OSSEC hè ancu capaci di monitorà l'integrità di i schedari in tempu reale. Questu hè, per esempiu, monitorà u registru di Windows, detecting rootkits. L'OSSEC hè capaci di avvisà i stakeholders nantu à i prublemi rilevati in tempu reale è aiuta à risponde rapidamente à e minacce rilevate. Questa piattaforma supporta Microsoft Windows è i sistemi più moderni simili à Unix, cumpresi Linux, FreeBSD, OpenBSD è Solaris.
A piattaforma OSSEC hè custituita da una entità di cuntrollu cintrali, un gestore utilizatu per riceve è monitorà l'infurmazioni da l'agenti (picculi prugrammi installati nantu à i sistemi per esse monitoratu). U manager hè stallatu in un sistema Linux chì mantene una basa di dati utilizata per verificà l'integrità di i schedari. Mantene ancu logs è registri di l'avvenimenti è i risultati di l'auditu di u sistema.
U prughjettu OSSEC hè attualmente supportatu da Atomicorp. A cumpagnia cura una versione open source gratuitu, è, in più, offre versione cummerciale di u pruduttu. un podcast in quale u capu di prughjettu OSSEC parla di l'ultima versione di u sistema - OSSEC 3.0. Parla ancu di a storia di u prughjettu, è cumu si sferisce da i sistemi cummerciale muderni utilizati in u campu di a sicurità di l'informatica.
5. suricata
hè un prughjettu open source focu annantu à risolve i prublemi principali di a sicurità di l'informatica. In particulare, include un sistema di rilevazione di intrusioni, un sistema di prevenzione d'intrusioni, è un strumentu di monitoraghju di a sicurità di a rete.
Stu pruduttu hè statu lanciatu in u 2009. U so travagliu hè basatu annantu à e regule. Questu hè, quellu chì l'utiliza hà l'uppurtunità di discrìviri certi funziunalità di u trafficu di a reta. Se a regula hè attivata, allora Suricata genera una notificazione, bluccà o rompe a cunnessione sospetta, chì, di novu, dipende di e regule stabilite. U prughjettu sustene ancu multithreading. Questu permette di processà rapidamente un gran numaru di regule in rete chì portanu grandi quantità di trafficu. Grazie à u supportu multithreading, un servitore abbastanza ordinariu hè capaci di analizà u trafficu cù successu à una velocità di 10 Gb / s. À u listessu tempu, l'amministratore ùn deve micca limità u settore di reguli utilizati per l'analisi di u trafficu. Suricata sustene ancu l'hashing è l'estrazione di i schedari.
Suricata pò esse cunfigurata per eseguisce in servitori regulari o in macchine virtuali, cum'è AWS, utilizendu una funzione aghjunta recentemente à u pruduttu. .
U prugettu sustene script Lua chì ponu esse usatu per creà una logica cumplessa è dettagliata di l'analisi di a firma di minaccia.
U prughjettu Suricata hè amministratu da a Open Information Security Foundation (OISF).
6. Zeek (fratellu)
Cum'è Suricata, (stu prughjettu era prima chjamatu Bro è hè statu rinominatu Zeek à l'eventu BroCon 2018) hè ancu un sistema di rilevazione di intrusioni è strumentu di monitoraghju di a sicurità di a rete chì ponu detect anomalie cum'è attività sospette o periculose. Zeek difiere di l'IDS tradiziunale in chì, à u cuntrariu di i sistemi basati in regule chì rilevanu eccezzioni, Zeek cattura ancu metadata in relazione à ciò chì succede in a reta. Questu hè fattu per capisce megliu u cuntestu di u cumpurtamentu inusual di a rete. Questu permette, per esempiu, quandu analizà una chjama HTTP o una prucedura per u scambiu di certificati di sicurezza, per fighjà u protocolu, l'intestazione di pacchetti, i nomi di duminiu.
Se cunsideremu Zeek cum'è un strumentu di sicurezza di a rete, pudemu dì chì dà à un specialista l'uppurtunità di investigà un incidente per sapè ciò chì hè accadutu prima o durante l'incidentu. Zeek converte ancu e dati di u trafficu di a rete in avvenimenti d'altu livellu è permette di travaglià cù un interprete di scrittura. L'interprete sustene a lingua di prugrammazione utilizata per interagisce cù l'avvenimenti è per sapè esattamente ciò chì significanu questi avvenimenti in quantu à a sicurità di a rete. A lingua di prugrammazione Zeek pò esse usata per persunalizà l'interpretazione di metadata cum'è necessariu da una urganizazione particulari. Permette di custruisce e cundizioni logichi cumplessi utilizendu l'operatori AND, OR è NOT. Questu dà l'utilizatori a capacità di persunalizà cumu l'ambienti sò analizati. Hè veru, deve esse nutatu chì, in paragunà cù Suricata, Zeek pò sembrà un strumentu piuttostu cumplicatu quandu si cunduce l'intelligenza nantu à e minacce di sicurità.
Sè site interessatu in più dettagli nantu à Zeek, per piacè cuntattate video.
7. Pantera
hè una piattaforma putente, nativa in nuvola per u monitoraghju di a sicurità cuntinuu. Hè statu trasferitu à a categuria di open source recentemente. À l'urighjini di u prugettu hè u principale architettu hè una suluzione per l'analisi automatizata di riviste, u codice di quale era apertu da Airbnb. Panther dà à l'utilizatori un sistema unicu per detectà cintrali è risponde à e minacce in tutti l'ambienti. Stu sistema hè capaci di cresce cù a dimensione di l'infrastruttura chì serve. A rilevazione di a minaccia hè urganizata utilizendu regule deterministiche trasparenti per riduce i falsi pusitivi è riduce a carica di travagliu inutile per i prufessiunali di sicurezza.
Trà e caratteristiche principali di Panther sò i seguenti:
- Rilevazione di l'accessu micca autorizatu à e risorse analizendu i logs.
- Scansione di minaccia implementata da a ricerca di log per indicatori chì indicanu prublemi di sicurezza. A ricerca hè fatta cù campi di dati Panter standardizati.
- Verificazione di u sistema per a conformità SOC / PCI / HIPAA utilizendu Meccanismi di pantera.
- Prutegge e vostre risorse in nuvola correggendu automaticamente errori di cunfigurazione chì, se sfruttati, ponu causà seri prublemi.
Panther hè implementatu in u cloud AWS di un'urganizazione cù AWS CloudFormation. Questu permette à l'utilizatore per esse sempre in u cuntrollu di i so dati.
Risultati
U monitoraghju di a sicurità di i sistemi hè, in questi ghjorni, u compitu più impurtante. Strumenti open source ponu aiutà e cumpagnie di tutte e dimensioni à risolve stu prublema, furnisce assai opportunità è quasi nunda di costu o liberu.
Beni, lettori! Chì strumenti di surviglianza di sicurità aduprate?
Source: www.habr.com