Mae mabwysiadu cyfrifiadura cwmwl yn eang yn helpu cwmnïau i raddfa eu busnes. Ond mae defnyddio llwyfannau newydd hefyd yn golygu bod bygythiadau newydd yn dod i'r amlwg. Nid yw cefnogi eich tîm eich hun o fewn y sefydliad sy'n gyfrifol am fonitro diogelwch gwasanaethau cwmwl yn dasg hawdd. Mae offer monitro presennol yn ddrud ac yn araf. Maent, i ryw raddau, yn anodd eu rheoli os oes angen ichi sicrhau diogelwch seilwaith cwmwl ar raddfa fawr. Mae angen offer pwerus, hyblyg a dealladwy y tu hwnt i'r hyn sydd wedi bod ar gael o'r blaen ar gwmnïau sydd am gadw eu diogelwch cwmwl ar lefel uchel. Dyma lle mae technolegau ffynhonnell agored yn ddefnyddiol iawn, sy'n helpu i arbed cyllidebau ar gyfer diogelwch ac yn cael eu creu gan arbenigwyr sy'n gwybod llawer am eu busnes.
Mae'r erthygl, yr ydym yn ei chyhoeddi heddiw, yn rhoi trosolwg o 7 offer ffynhonnell agored ar gyfer monitro diogelwch systemau cwmwl. Mae'r offer hyn wedi'u cynllunio i amddiffyn rhag hacwyr a seiberdroseddwyr trwy ganfod anghysondebau a gweithgareddau anniogel.
1. Osquery
yn system ar gyfer monitro lefel isel a dadansoddi systemau gweithredu sy'n caniatáu i weithwyr proffesiynol diogelwch gloddio data cymhleth gan ddefnyddio SQL. Gall fframwaith Osquery redeg ar Linux, macOS, Windows, a FreeBSD. Mae'n cyflwyno'r system weithredu (OS) fel cronfa ddata berthynol perfformiad uchel. Mae hyn yn caniatáu i weithwyr diogelwch proffesiynol archwilio'r OS trwy weithredu ymholiadau SQL. Er enghraifft, gan ddefnyddio ymholiad, gallwch gael gwybodaeth am brosesau rhedeg, am fodiwlau cnewyllyn wedi'u llwytho, am gysylltiadau rhwydwaith agored, am estyniadau porwr wedi'u gosod, am ddigwyddiadau caledwedd, am symiau hash ffeil.
Crëwyd fframwaith Osquery gan Facebook. Agorwyd ei god yn 2014, ar ôl i'r cwmni sylweddoli nad y cwmni ei hun yn unig oedd angen offer i fonitro mecanweithiau lefel isel systemau gweithredu. Ers hynny, mae Osquery wedi cael ei ddefnyddio gan arbenigwyr o gwmnïau fel Dactiv, Google, Kolide, Trail of Bits, Uptycs, a llawer o rai eraill. Yn ddiweddar yr oedd bod y Linux Foundation a Facebook yn mynd i ffurfio cronfa i gefnogi Osquery.
Mae daemon monitro gwesteiwr Osquery, o'r enw osqueryd, yn caniatáu ichi drefnu ymholiadau sy'n casglu data o bob rhan o seilwaith eich sefydliad. Mae'r ellyll yn casglu canlyniadau ymholiad ac yn creu logiau sy'n adlewyrchu newidiadau yng nghyflwr y seilwaith. Gall hyn helpu gweithwyr diogelwch proffesiynol i fod yn ymwybodol o'r sefyllfa yn y system ac mae'n arbennig o ddefnyddiol ar gyfer canfod anghysondebau. Gellir defnyddio galluoedd agregu logiau Osquery i hwyluso'r gwaith o chwilio am malware hysbys ac anhysbys, yn ogystal ag i nodi lle mae tresmaswyr wedi mynd i mewn i'r system ac i ddod o hyd i'r rhaglenni y maent wedi'u gosod. deunydd, lle gallwch ddod o hyd i fanylion am ganfod anomaleddau gan ddefnyddio Osquery.
2.GoAudit
System yn cynnwys dwy brif gydran. Y cyntaf yw rhywfaint o god lefel cnewyllyn a gynlluniwyd i ryng-gipio a monitro galwadau system. Yr ail gydran yw daemon gofod defnyddiwr o'r enw . Mae'n gyfrifol am ysgrifennu canlyniadau'r archwiliad ar ddisg. , system a grëwyd gan y cwmni ac a ryddhawyd yn 2016 a fwriedir i gymryd lle archwiliedig. Mae wedi gwella galluoedd logio trwy drosi negeseuon digwyddiad aml-linell a gynhyrchir gan system archwilio Linux yn smotiau JSON sengl, gan ei gwneud hi'n haws i'w dosrannu. Diolch i GoAudit, gallwch gael mynediad uniongyrchol i fecanweithiau lefel y cnewyllyn dros y rhwydwaith. Yn ogystal, gallwch alluogi hidlo digwyddiadau lleiaf posibl ar y gwesteiwr ei hun (neu analluogi hidlo'n gyfan gwbl). Ar yr un pryd, mae GoAudit yn brosiect sydd wedi'i gynllunio nid yn unig ar gyfer diogelwch. Bwriedir i'r offeryn hwn fod yn offeryn amlswyddogaethol ar gyfer gweithwyr proffesiynol cymorth system neu ddatblygu. Mae'n helpu i ddelio â phroblemau mewn seilwaith ar raddfa fawr.
Mae system GoAudit wedi'i hysgrifennu yn Golang. Mae'n iaith fath-ddiogel a pherfformiad uchel. Cyn gosod GoAudit, gwnewch yn siŵr bod eich fersiwn o Golang yn uwch na 1.7.
3 Grapl
Prosiect (Graph Analytics Platform) ei drosglwyddo i'r categori ffynhonnell agored ym mis Mawrth y llynedd. Mae'n llwyfan cymharol newydd ar gyfer canfod materion diogelwch, cynnal fforensig cyfrifiadurol a chynhyrchu adroddiadau digwyddiad. Mae ymosodwyr yn aml yn gweithio gan ddefnyddio rhywbeth fel model graff, gan ennill rheolaeth ar system benodol ac archwilio systemau rhwydweithiol eraill gan ddechrau o'r system honno. Felly, mae'n eithaf naturiol y bydd amddiffynwyr y system hefyd yn defnyddio mecanwaith yn seiliedig ar fodel graff cysylltiad systemau rhwydwaith, sy'n ystyried hynodion y berthynas rhwng systemau. Mae Grapl yn dangos ymgais i gymhwyso mesurau canfod digwyddiadau ac ymateb yn seiliedig ar fodel graff yn hytrach na model log.
Mae'r offeryn Grapl yn cymryd logiau sy'n ymwneud â diogelwch (logiau Sysmon neu logiau JSON plaen) ac yn eu trosi'n is-graffiau (gan ddiffinio "gwybodaeth hunaniaeth" ar gyfer pob nod). Ar ôl hynny, mae'n cyfuno'r isgraffau yn graff cyffredinol (Prif Graff), sy'n cynrychioli'r gweithredoedd a gyflawnir yn yr amgylcheddau a ddadansoddwyd. Yna mae Grapl yn rhedeg Analyzers ar y graff canlyniadol gan ddefnyddio "llofnodion ymosodwr" i ganfod anghysondebau a phatrymau amheus. Pan fydd y parser yn canfod isgraff amheus, mae Grapl yn cynhyrchu lluniad Ymgysylltu ar gyfer ymchwilio. Mae ymgysylltu yn ddosbarth Python y gellir ei lwytho i, er enghraifft, Llyfr Nodiadau Jupyter a ddefnyddir mewn amgylchedd AWS. Mae Grapl hefyd yn gallu casglu mwy o wybodaeth ar gyfer ymchwilio i'r digwyddiad trwy ehangu'r graff.
Os ydych chi am wella gyda Grapl, gallwch chi edrych ar Mae fideo diddorol yn recordiad o berfformiad o BSides Las Vegas 2019.
4 OSSEC
yn brosiect a sefydlwyd yn 2004. Yn gyffredinol, gellir disgrifio'r prosiect hwn fel llwyfan monitro diogelwch ffynhonnell agored sydd wedi'i gynllunio ar gyfer dadansoddi gwesteiwr a chanfod ymyrraeth. Mae OSSEC yn cael ei lawrlwytho dros 500000 o weithiau'r flwyddyn. Defnyddir y platfform hwn yn bennaf fel offeryn canfod ymyrraeth gweinydd. Ar ben hynny, rydym yn sôn am systemau lleol a cwmwl. Mae OSSEC hefyd yn cael ei ddefnyddio'n aml fel offeryn ar gyfer archwilio logiau monitro a dadansoddi waliau tân, systemau canfod ymyrraeth, gweinyddwyr gwe, ac ar gyfer archwilio logiau dilysu.
Mae OSSEC yn cyfuno System Canfod Ymyrraeth sy'n Seiliedig ar Gwesteiwr (HIDS) â Rheoli Digwyddiadau Diogelwch (SIM) a Rheoli Gwybodaeth Diogelwch a Digwyddiadau (SIEM). Mae OSSEC hefyd yn gallu monitro cywirdeb ffeiliau mewn amser real. Mae hyn, er enghraifft, yn monitro cofrestrfa Windows, gan ganfod rootkits. Mae OSSEC yn gallu hysbysu rhanddeiliaid am broblemau a ganfyddir mewn amser real ac mae'n helpu i ymateb yn gyflym i fygythiadau a ganfyddir. Mae'r platfform hwn yn cefnogi Microsoft Windows a'r systemau mwyaf modern tebyg i Unix, gan gynnwys Linux, FreeBSD, OpenBSD, a Solaris.
Mae platfform OSSEC yn cynnwys endid rheoli canolog, rheolwr a ddefnyddir i dderbyn a monitro gwybodaeth gan asiantau (rhaglenni bach wedi'u gosod ar systemau i'w monitro). Mae'r rheolwr wedi'i osod ar system Linux sy'n cadw cronfa ddata a ddefnyddir i wirio cywirdeb ffeiliau. Mae hefyd yn cadw logiau a chofnodion o ddigwyddiadau a chanlyniadau archwiliadau system.
Mae prosiect OSSEC yn cael ei gefnogi ar hyn o bryd gan Atomicorp. Mae'r cwmni'n curadu fersiwn ffynhonnell agored am ddim, ac, yn ogystal, yn cynnig fersiwn fasnachol o'r cynnyrch. podlediad lle mae rheolwr prosiect OSSEC yn siarad am y fersiwn diweddaraf o'r system - OSSEC 3.0. Mae hefyd yn sôn am hanes y prosiect, a sut mae'n wahanol i systemau masnachol modern a ddefnyddir ym maes diogelwch cyfrifiaduron.
5. meerkat
yn brosiect ffynhonnell agored sy'n canolbwyntio ar ddatrys prif broblemau diogelwch cyfrifiaduron. Yn benodol, mae'n cynnwys system canfod ymyrraeth, system atal ymyrraeth, ac offeryn monitro diogelwch rhwydwaith.
Lansiwyd y cynnyrch hwn yn 2009. Mae ei waith yn seiliedig ar reolau. Hynny yw, mae'r un sy'n ei ddefnyddio yn cael y cyfle i ddisgrifio rhai nodweddion traffig rhwydwaith. Os caiff y rheol ei sbarduno, yna mae Suricata yn cynhyrchu hysbysiad, gan rwystro neu dorri'r cysylltiad amheus, sydd, unwaith eto, yn dibynnu ar y rheolau a osodwyd. Mae'r prosiect hefyd yn cefnogi multithreading. Mae hyn yn ei gwneud hi'n bosibl prosesu nifer fawr o reolau yn gyflym mewn rhwydweithiau sy'n cludo llawer iawn o draffig. Diolch i gefnogaeth multithreading, mae gweinydd eithaf cyffredin yn gallu dadansoddi traffig yn llwyddiannus ar gyflymder o 10 Gb / s. Ar yr un pryd, nid oes rhaid i'r gweinyddwr gyfyngu ar y set o reolau a ddefnyddir ar gyfer dadansoddi traffig. Mae Suricata hefyd yn cefnogi stwnsio a thynnu ffeiliau.
Gellir ffurfweddu Suricata i redeg ar weinyddion rheolaidd neu ar beiriannau rhithwir, fel AWS, gan ddefnyddio nodwedd a ychwanegwyd yn ddiweddar at y cynnyrch .
Mae'r prosiect yn cefnogi sgriptiau Lua y gellir eu defnyddio i greu rhesymeg dadansoddi bygythiadau cymhleth a manwl.
Rheolir prosiect Suricata gan y Sefydliad Diogelwch Gwybodaeth Agored (OISF).
6. Zeek (Bro)
Fel Suricata, (Gelwid y prosiect hwn yn Bro yn flaenorol ac fe'i hailenwyd yn Zeek yn nigwyddiad BroCon 2018) hefyd yn system canfod ymyrraeth ac offeryn monitro diogelwch rhwydwaith sy'n gallu canfod anghysondebau megis gweithgareddau amheus neu beryglus. Mae Zeek yn wahanol i IDS traddodiadol yn yr ystyr, yn wahanol i systemau seiliedig ar reolau sy'n canfod eithriadau, mae Zeek hefyd yn dal metadata sy'n gysylltiedig â'r hyn sy'n digwydd ar y rhwydwaith. Gwneir hyn er mwyn deall cyd-destun ymddygiad rhwydwaith anarferol yn well. Mae hyn yn caniatáu, er enghraifft, wrth ddadansoddi galwad HTTP neu weithdrefn ar gyfer cyfnewid tystysgrifau diogelwch, edrych ar y protocol, ar benawdau pecynnau, ar enwau parth.
Os ydym yn ystyried Zeek fel offeryn diogelwch rhwydwaith, yna gallwn ddweud ei fod yn rhoi cyfle i arbenigwr ymchwilio i ddigwyddiad trwy ddysgu am yr hyn a ddigwyddodd cyn neu yn ystod y digwyddiad. Mae Zeek hefyd yn trosi data traffig rhwydwaith yn ddigwyddiadau lefel uchel ac yn ei gwneud hi'n bosibl gweithio gyda dehonglydd sgript. Mae'r cyfieithydd yn cefnogi'r iaith raglennu a ddefnyddir i ryngweithio â digwyddiadau ac i ddarganfod yn union beth mae'r digwyddiadau hyn yn ei olygu o ran diogelwch rhwydwaith. Gellir defnyddio iaith raglennu Zeek i addasu dehongliad metadata yn ôl yr angen gan sefydliad penodol. Mae'n eich galluogi i adeiladu amodau rhesymegol cymhleth gan ddefnyddio'r gweithredwyr AND, OR ac NOT. Mae hyn yn rhoi'r gallu i ddefnyddwyr addasu sut mae eu hamgylcheddau'n cael eu dadansoddi. Yn wir, dylid nodi, o'i gymharu â Suricata, y gall Zeek ymddangos fel offeryn eithaf cymhleth wrth gynnal gwybodaeth am fygythiadau diogelwch.
Os oes gennych ddiddordeb mewn mwy o fanylion am Zeek, cysylltwch â fideo.
7. Panther
yn blatfform pwerus, brodorol cwmwl ar gyfer monitro diogelwch parhaus. Fe'i trosglwyddwyd i'r categori ffynhonnell agored yn ddiweddar. Ar darddiad y prosiect yw'r prif bensaer yn ateb ar gyfer dadansoddiad awtomataidd o gylchgronau, y codwyd ei ffynhonnell agored gan Airbnb. Mae Panther yn rhoi un system i'r defnyddiwr ganfod yn ganolog ac ymateb i fygythiadau ym mhob amgylchedd. Gall y system hon dyfu gyda maint y seilwaith a wasanaethir. Trefnir canfod bygythiadau gan ddefnyddio rheolau penderfyniaethol tryloyw i leihau pethau cadarnhaol ffug a lleihau llwyth gwaith diangen ar gyfer gweithwyr diogelwch proffesiynol.
Ymhlith prif nodweddion Panther mae'r canlynol:
- Canfod mynediad anawdurdodedig i adnoddau trwy ddadansoddi logiau.
- Sgan bygythiad wedi'i weithredu trwy chwilio logiau am ddangosyddion sy'n nodi materion diogelwch. Cynhelir y chwiliad gan ddefnyddio meysydd data safonol Panter.
- Gwiriad system ar gyfer cydymffurfio â SOC / PCI / HIPAA gan ddefnyddio Mecanweithiau Panther.
- Diogelwch eich adnoddau cwmwl trwy drwsio gwallau cyfluniad yn awtomatig a all, os cânt eu hecsbloetio, achosi problemau difrifol.
Mae Panther yn cael ei ddefnyddio yng nghwmwl AWS sefydliad gan ddefnyddio AWS CloudFormation. Mae hyn yn galluogi'r defnyddiwr i reoli ei ddata bob amser.
Canlyniadau
Y dyddiau hyn, monitro diogelwch systemau yw'r dasg bwysicaf. Gall offer ffynhonnell agored helpu cwmnïau o bob maint i ddatrys y broblem hon, gan ddarparu llawer o gyfleoedd a bron dim yn costio neu'n rhad ac am ddim.
Annwyl ddarllenwyr! Pa offer monitro diogelwch ydych chi'n eu defnyddio?
Ffynhonnell: hab.com