Široké přijetí cloud computingu pomáhá společnostem škálovat jejich podnikání. Používání nových platforem ale také znamená vznik nových hrozeb. Podpora vlastního týmu v rámci organizace odpovědné za sledování bezpečnosti cloudových služeb není snadný úkol. Stávající monitorovací nástroje jsou drahé a pomalé. Je do jisté míry obtížné je spravovat, pokud potřebujete zajistit bezpečnost rozsáhlé cloudové infrastruktury. Společnosti, které chtějí udržet své cloudové zabezpečení na vysoké úrovni, vyžadují nástroje, které jsou výkonné, flexibilní a srozumitelné nad rámec toho, co bylo dříve dostupné. Zde se velmi hodí open source technologie, které pomáhají šetřit rozpočty na zabezpečení a jsou vytvářeny specialisty, kteří toho o svém podnikání hodně vědí.
Článek, jehož překlad dnes publikujeme, přináší přehled 7 open source nástrojů pro sledování bezpečnosti cloudových systémů. Tyto nástroje jsou navrženy tak, aby chránily před hackery a kyberzločinci odhalováním anomálií a nebezpečných činností.
1. Osquery
— je systém pro nízkoúrovňové monitorování a analýzu operačních systémů, který umožňuje bezpečnostním profesionálům provádět komplexní analýzu dat pomocí SQL. Framework Osquery lze spustit na Linux, macOS, Windows a FreeBSD. Prezentuje operační systém (OS) jako vysoce výkonnou relační databázi. To umožňuje bezpečnostním výzkumníkům zkoumat OS prováděním SQL dotazů. Dotaz může například odhalit informace o spuštěných procesech, načtených modulech jádra, otevřených síťových připojeních, nainstalovaných rozšířeních prohlížeče, hardwarových událostech a haších souborů.
Rámec Osquery vytvořil Facebook. Jeho kód byl otevřen v roce 2014 poté, co si společnost uvědomila, že nejenom sama společnost potřebuje nástroje pro sledování nízkoúrovňových mechanismů operačních systémů. Od té doby Osquery používají odborníci ze společností jako Dactiv, Google, Kolide, Trail of Bits, Uptycs a mnoho dalších. Nedávno to bylo že Linux Nadace a Facebook plánují založit podpůrný fond pro Osquery.
Démon monitorování hostitelů Osquery, nazývaný osqueryd, vám umožňuje plánovat dotazy, které shromažďují data z infrastruktury vaší organizace. Démon shromažďuje výsledky dotazů a vytváří protokoly, které odrážejí změny stavu infrastruktury. To může pomoci bezpečnostním profesionálům udržet krok se stavem věcí v systému a je to užitečné zejména pro odhalování anomálií. Schopnosti agregace protokolů Osquery lze použít k usnadnění vyhledávání známého a neznámého malwaru a také k identifikaci, kde se do systému dostali vetřelci, a k nalezení programů, které nainstalovali. materiál, kde najdete podrobnosti o detekci anomálií pomocí Osquery.
2.GoAudit
systém se skládá ze dvou hlavních složek. První je nějaký kód na úrovni jádra určený k zachycování a monitorování systémových volání. Druhou součástí je démon uživatelského prostoru nazvaný . Je zodpovědný za zápis výsledků auditu na disk. , systém vytvořený společností Byl vydán v roce 2016 a je navržen jako náhrada auditd. Má vylepšené možnosti protokolování převodem víceřádkových zpráv o událostech generovaných auditním systémem. Linux, do jednotlivých objektů JSON BLOB, což zjednodušuje analýzu. GoAudit umožňuje přímý přístup k mechanismům na úrovni jádra přes síť. Je také možné povolit minimální filtrování událostí na samotném hostiteli (nebo filtrování zcela zakázat). GoAudit není jen bezpečnostní projekt. Je navržen jako multifunkční nástroj pro profesionály v oblasti systémové podpory nebo vývoje. Pomáhá řešit problémy ve velkých infrastrukturách.
Systém GoAudit je napsán v Golangu. Je to typově bezpečný a vysoce výkonný jazyk. Před instalací GoAudit se ujistěte, že vaše verze Golang je vyšší než 1.7.
3 Grapl
projekt (Graph Analytics Platform) byla v březnu loňského roku převedena do kategorie open source. Jedná se o relativně novou platformu pro zjišťování bezpečnostních problémů, pro provádění počítačové forenzní analýzy a pro generování zpráv o incidentech. Útočníci často používají něco jako grafový model, získávají kontrolu nad konkrétním systémem a prozkoumávají další síťové systémy počínaje tímto systémem. Proto je zcela přirozené, že ochránci systému budou využívat i mechanismus založený na grafu připojení síťových systémů, který zohledňuje zvláštnosti vztahů mezi systémy. Grapl demonstruje pokus použít měření detekce incidentů a odezvy na základě grafového modelu spíše než log modelu.
Nástroj Grapl bere protokoly související se zabezpečením (protokoly Sysmon nebo prosté protokoly JSON) a převádí je na podgrafy (definující „informace o identitě“ pro každý uzel). Poté zkombinuje podgrafy do obecného grafu (Master Graph), který představuje akce provedené v analyzovaných prostředích. Grapl pak na výsledném grafu spustí Analyzátory pomocí „podpisů útočníků“ k detekci anomálií a podezřelých vzorů. Když parser detekuje podezřelý podgraf, Grapl vygeneruje konstrukt Engagement pro vyšetřování. Engagement je třída Pythonu, kterou lze načíst například do notebooku Jupyter nasazeného v prostředí AWS. Grapl je také schopen rozšířit sběr informací pro vyšetřování incidentu prostřednictvím rozšíření grafu.
Pokud se chcete s Graplem zlepšit, můžete se podívat na Zajímavým videem je záznam vystoupení z BSides Las Vegas 2019.
4 OSSEC
je projekt založený v roce 2004. Tento projekt lze obecně popsat jako open source bezpečnostní monitorovací platformu navrženou pro analýzu hostitelů a detekci narušení. OSSEC je staženo více než 500000 XNUMXkrát ročně. Tato platforma se používá hlavně jako nástroj pro detekci narušení serveru. Navíc mluvíme o lokálních i cloudových systémech. OSSEC se také často používá jako nástroj pro zkoumání protokolů monitorování a analýzu firewallů, systémů detekce narušení, webových serverů a pro zkoumání protokolů ověřování.
OSSEC kombinuje funkce hostitelského systému pro detekci narušení (HIDS) se systémem pro správu bezpečnostních incidentů (SIM) a systémem pro správu bezpečnostních informací a událostí (SIEM). OSSEC také nabízí monitorování integrity souborů v reálném čase, například monitorování registru. Windows, detekce rootkitů. OSSEC může v reálném čase informovat zúčastněné strany o zjištěných problémech a pomáhá rychle reagovat na zjištěné hrozby. Tato platforma podporuje Microsoft Windows a většina moderních unixových systémů, včetně Linux, FreeBSD, OpenBSD a Solaris.
Platforma OSSEC se skládá z centrální řídicí entity, manažera, který slouží k přijímání a monitorování informací od agentů (malých programů instalovaných na monitorovaných systémech). Manažer je instalován na Linux- systém, který uchovává databázi používanou k ověřování integrity souborů. Ukládá také protokoly a záznamy událostí a výsledky systémového auditu.
Projekt OSSEC je v současné době podporován společností Atomicorp. Společnost spravuje bezplatnou verzi open source a navíc nabízí komerční verze produktu. podcast, ve kterém projektový manažer OSSEC hovoří o nejnovější verzi systému - OSSEC 3.0. Hovoří také o historii projektu ao tom, jak se liší od moderních komerčních systémů používaných v oblasti počítačové bezpečnosti.
5. surikata
je open source projekt zaměřený na řešení hlavních problémů počítačové bezpečnosti. Zahrnuje zejména systém detekce narušení, systém prevence narušení a nástroj pro monitorování zabezpečení sítě.
Tento produkt byl uveden na trh v roce 2009. Jeho práce je založena na pravidlech. To znamená, že ten, kdo jej používá, má možnost popsat určité vlastnosti síťového provozu. Pokud je pravidlo spuštěno, Suricata vygeneruje upozornění, zablokuje nebo přeruší podezřelé připojení, což opět závisí na nastavených pravidlech. Projekt také podporuje multithreading. To umožňuje rychle zpracovat velké množství pravidel v sítích, které přenášejí velké množství provozu. Díky podpoře multithreadingu je docela obyčejný server schopen úspěšně analyzovat provoz rychlostí 10 Gb/s. Správce zároveň nemusí omezovat sadu pravidel používaných pro analýzu provozu. Suricata také podporuje hašování a extrahování souborů.
Suricata může být konfigurována tak, aby běžela na běžných serverech nebo na virtuálních počítačích, jako je AWS, pomocí funkce nedávno přidané do produktu .
Projekt podporuje skripty Lua, které lze použít k vytvoření komplexní a podrobné logiky analýzy signatur hrozeb.
Projekt Suricata je řízen Open Information Security Foundation (OISF).
6. Zeek (brácha)
jako Suricata, (tento projekt se dříve jmenoval Bro a na akci BroCon 2018 byl přejmenován na Zeek) je také systémem detekce narušení a nástrojem pro monitorování zabezpečení sítě, který dokáže detekovat anomálie, jako jsou podezřelé nebo nebezpečné aktivity. Zeek se liší od tradičního IDS v tom, že na rozdíl od systémů založených na pravidlech, které detekují výjimky, Zeek také zachycuje metadata související s tím, co se děje v síti. To se provádí za účelem lepšího pochopení kontextu neobvyklého chování sítě. To umožňuje například při analýze HTTP volání nebo postupu pro výměnu bezpečnostních certifikátů podívat se na protokol, na hlavičky paketů, na názvy domén.
Pokud považujeme Zeek za nástroj zabezpečení sítě, pak můžeme říci, že dává specialistovi příležitost prošetřit incident tím, že se dozví o tom, co se stalo před nebo během incidentu. Zeek také převádí data o síťovém provozu na události na vysoké úrovni a umožňuje pracovat s interpretem skriptů. Interpret podporuje programovací jazyk používaný k interakci s událostmi a ke zjištění, co přesně tyto události znamenají z hlediska zabezpečení sítě. Programovací jazyk Zeek lze použít k přizpůsobení interpretace metadat podle potřeby konkrétní organizace. Umožňuje vám vytvářet složité logické podmínky pomocí operátorů AND, OR a NOT. To dává uživatelům možnost přizpůsobit, jak jsou jejich prostředí analyzována. Je pravda, že je třeba poznamenat, že ve srovnání se Suricatou se Zeek může jevit jako poměrně komplikovaný nástroj při provádění zpravodajských informací o bezpečnostních hrozbách.
Pokud máte zájem o další podrobnosti o Zeek, kontaktujte nás video.
7. Panter
je výkonná cloudová platforma pro nepřetržité monitorování zabezpečení. Nedávno byl převeden do kategorie open source. U zrodu projektu stojí hlavní architekt je řešení pro automatizovanou analýzu časopisů, jejichž kód byl open-source od Airbnb. Panther poskytuje uživateli jediný systém pro centrální detekci a reakci na hrozby ve všech prostředích. Tento systém je schopen růst s velikostí obsluhované infrastruktury. Detekce hrozeb je organizována pomocí transparentních deterministických pravidel, aby se snížilo množství falešných poplachů a zbytečná pracovní zátěž pro bezpečnostní profesionály.
Mezi hlavní rysy Panthera patří:
- Detekce neoprávněného přístupu ke zdrojům pomocí analýzy protokolů.
- Kontrola hrozeb implementovaná prohledáváním protokolů pro indikátory indikující bezpečnostní problémy. Vyhledávání se provádí pomocí standardizovaných datových polí Panter.
- Kontrola systému na shodu s SOC/PCI/HIPAA pomocí Panther mechanismy.
- Chraňte své cloudové zdroje automatickým opravováním konfiguračních chyb, které v případě zneužití mohou způsobit vážné problémy.
Panther je nasazen v cloudu AWS organizace pomocí AWS CloudFormation. To umožňuje uživateli mít svá data vždy pod kontrolou.
Výsledky
Sledování bezpečnosti systémů je v dnešní době tím nejdůležitějším úkolem. Open source nástroje mohou pomoci společnostem všech velikostí vyřešit tento problém, poskytují mnoho příležitostí a téměř nic nestojí ani zadarmo.
Vážení čtenáři! Jaké nástroje pro monitorování bezpečnosti používáte?
Zdroj: www.habr.com
