Mae mabwysiadu cyfrifiadura cwmwl yn eang yn helpu cwmnïau i raddfa eu busnes. Ond mae defnyddio llwyfannau newydd hefyd yn golygu bod bygythiadau newydd yn dod i'r amlwg. Nid yw cefnogi eich tîm eich hun o fewn y sefydliad sy'n gyfrifol am fonitro diogelwch gwasanaethau cwmwl yn dasg hawdd. Mae offer monitro presennol yn ddrud ac yn araf. Maent, i ryw raddau, yn anodd eu rheoli os oes angen ichi sicrhau diogelwch seilwaith cwmwl ar raddfa fawr. Mae angen offer pwerus, hyblyg a dealladwy y tu hwnt i'r hyn sydd wedi bod ar gael o'r blaen ar gwmnïau sydd am gadw eu diogelwch cwmwl ar lefel uchel. Dyma lle mae technolegau ffynhonnell agored yn ddefnyddiol iawn, sy'n helpu i arbed cyllidebau ar gyfer diogelwch ac yn cael eu creu gan arbenigwyr sy'n gwybod llawer am eu busnes.
Mae'r erthygl, yr ydym yn ei chyhoeddi heddiw, yn rhoi trosolwg o 7 offer ffynhonnell agored ar gyfer monitro diogelwch systemau cwmwl. Mae'r offer hyn wedi'u cynllunio i amddiffyn rhag hacwyr a seiberdroseddwyr trwy ganfod anghysondebau a gweithgareddau anniogel.
1. Osquery
— yn system ar gyfer monitro a dadansoddi systemau gweithredu lefel isel sy'n caniatáu i weithwyr proffesiynol diogelwch gynnal dadansoddiad data cymhleth gan ddefnyddio SQL. Gall fframwaith Osquery redeg ar Linux, macOS, Windows a FreeBSD. Mae'n cyflwyno'r system weithredu (OS) fel cronfa ddata berthynasol perfformiad uchel. Mae hyn yn caniatáu i ymchwilwyr diogelwch ymchwilio i'r OS trwy weithredu ymholiadau SQL. Er enghraifft, gall ymholiad ddatgelu gwybodaeth am brosesau sy'n rhedeg, modiwlau cnewyllyn wedi'u llwytho, cysylltiadau rhwydwaith agored, estyniadau porwr wedi'u gosod, digwyddiadau caledwedd, a hashes ffeiliau.
Crëwyd fframwaith Osquery gan Facebook. Agorwyd ei god yn 2014, ar ôl i'r cwmni sylweddoli nad y cwmni ei hun yn unig oedd angen offer i fonitro mecanweithiau lefel isel systemau gweithredu. Ers hynny, mae Osquery wedi cael ei ddefnyddio gan arbenigwyr o gwmnïau fel Dactiv, Google, Kolide, Trail of Bits, Uptycs, a llawer o rai eraill. Yn ddiweddar yr oedd am hynny Linux Mae Sefydliad a Facebook yn bwriadu ffurfio cronfa gymorth ar gyfer Osquery.
Mae daemon monitro gwesteiwr Osquery, o'r enw osqueryd, yn caniatáu ichi drefnu ymholiadau sy'n casglu data o bob rhan o seilwaith eich sefydliad. Mae'r ellyll yn casglu canlyniadau ymholiad ac yn creu logiau sy'n adlewyrchu newidiadau yng nghyflwr y seilwaith. Gall hyn helpu gweithwyr diogelwch proffesiynol i fod yn ymwybodol o'r sefyllfa yn y system ac mae'n arbennig o ddefnyddiol ar gyfer canfod anghysondebau. Gellir defnyddio galluoedd agregu logiau Osquery i hwyluso'r gwaith o chwilio am malware hysbys ac anhysbys, yn ogystal ag i nodi lle mae tresmaswyr wedi mynd i mewn i'r system ac i ddod o hyd i'r rhaglenni y maent wedi'u gosod. deunydd, lle gallwch ddod o hyd i fanylion am ganfod anomaleddau gan ddefnyddio Osquery.
2.GoAudit
System yn cynnwys dwy brif gydran. Y cyntaf yw rhywfaint o god lefel cnewyllyn a gynlluniwyd i ryng-gipio a monitro galwadau system. Yr ail gydran yw daemon gofod defnyddiwr o'r enw . Mae'n gyfrifol am ysgrifennu canlyniadau'r archwiliad ar ddisg. , system a grëwyd gan y cwmni Wedi'i ryddhau yn 2016, mae wedi'i gynllunio i ddisodli auditd. Mae wedi gwella galluoedd logio trwy drosi negeseuon digwyddiad aml-linell a gynhyrchir gan y system archwilio. Linux, yn BLOBiau JSON sengl, gan symleiddio dadansoddi. Mae GoAudit yn caniatáu mynediad uniongyrchol i fecanweithiau lefel cnewyllyn dros y rhwydwaith. Mae hefyd yn bosibl galluogi hidlo digwyddiadau lleiaf posibl ar y gwesteiwr ei hun (neu analluogi hidlo yn gyfan gwbl). Nid prosiect diogelwch yn unig yw GoAudit. Mae wedi'i gynllunio fel offeryn amlswyddogaethol ar gyfer gweithwyr proffesiynol cymorth neu ddatblygu systemau. Mae'n helpu i ddatrys problemau mewn seilweithiau ar raddfa fawr.
Mae system GoAudit wedi'i hysgrifennu yn Golang. Mae'n iaith fath-ddiogel a pherfformiad uchel. Cyn gosod GoAudit, gwnewch yn siŵr bod eich fersiwn o Golang yn uwch na 1.7.
3 Grapl
Prosiect (Graph Analytics Platform) ei drosglwyddo i'r categori ffynhonnell agored ym mis Mawrth y llynedd. Mae'n llwyfan cymharol newydd ar gyfer canfod materion diogelwch, cynnal fforensig cyfrifiadurol a chynhyrchu adroddiadau digwyddiad. Mae ymosodwyr yn aml yn gweithio gan ddefnyddio rhywbeth fel model graff, gan ennill rheolaeth ar system benodol ac archwilio systemau rhwydweithiol eraill gan ddechrau o'r system honno. Felly, mae'n eithaf naturiol y bydd amddiffynwyr y system hefyd yn defnyddio mecanwaith yn seiliedig ar fodel graff cysylltiad systemau rhwydwaith, sy'n ystyried hynodion y berthynas rhwng systemau. Mae Grapl yn dangos ymgais i gymhwyso mesurau canfod digwyddiadau ac ymateb yn seiliedig ar fodel graff yn hytrach na model log.
Mae'r offeryn Grapl yn cymryd logiau sy'n ymwneud â diogelwch (logiau Sysmon neu logiau JSON plaen) ac yn eu trosi'n is-graffiau (gan ddiffinio "gwybodaeth hunaniaeth" ar gyfer pob nod). Ar ôl hynny, mae'n cyfuno'r isgraffau yn graff cyffredinol (Prif Graff), sy'n cynrychioli'r gweithredoedd a gyflawnir yn yr amgylcheddau a ddadansoddwyd. Yna mae Grapl yn rhedeg Analyzers ar y graff canlyniadol gan ddefnyddio "llofnodion ymosodwr" i ganfod anghysondebau a phatrymau amheus. Pan fydd y parser yn canfod isgraff amheus, mae Grapl yn cynhyrchu lluniad Ymgysylltu ar gyfer ymchwilio. Mae ymgysylltu yn ddosbarth Python y gellir ei lwytho i, er enghraifft, Llyfr Nodiadau Jupyter a ddefnyddir mewn amgylchedd AWS. Mae Grapl hefyd yn gallu casglu mwy o wybodaeth ar gyfer ymchwilio i'r digwyddiad trwy ehangu'r graff.
Os ydych chi am wella gyda Grapl, gallwch chi edrych ar Mae fideo diddorol yn recordiad o berfformiad o BSides Las Vegas 2019.
4 OSSEC
yn brosiect a sefydlwyd yn 2004. Yn gyffredinol, gellir disgrifio'r prosiect hwn fel llwyfan monitro diogelwch ffynhonnell agored sydd wedi'i gynllunio ar gyfer dadansoddi gwesteiwr a chanfod ymyrraeth. Mae OSSEC yn cael ei lawrlwytho dros 500000 o weithiau'r flwyddyn. Defnyddir y platfform hwn yn bennaf fel offeryn canfod ymyrraeth gweinydd. Ar ben hynny, rydym yn sôn am systemau lleol a cwmwl. Mae OSSEC hefyd yn cael ei ddefnyddio'n aml fel offeryn ar gyfer archwilio logiau monitro a dadansoddi waliau tân, systemau canfod ymyrraeth, gweinyddwyr gwe, ac ar gyfer archwilio logiau dilysu.
Mae OSSEC yn cyfuno galluoedd system canfod ymyrraeth sy'n seiliedig ar westeiwr (HIDS) â system rheoli digwyddiadau diogelwch (SIM) a system rheoli gwybodaeth a digwyddiadau diogelwch (SIEM). Mae OSSEC hefyd yn cynnwys monitro uniondeb ffeiliau mewn amser real, fel monitro'r gofrestrfa. Windows, canfod rootkit. Gall OSSEC hysbysu rhanddeiliaid am broblemau a ganfuwyd mewn amser real ac mae'n helpu i ymateb yn brydlon i fygythiadau a ganfuwyd. Mae'r platfform hwn yn cefnogi Microsoft Windows a'r rhan fwyaf o systemau modern tebyg i Unix, gan gynnwys Linux, FreeBSD, OpenBSD a Solaris.
Mae platfform OSSEC yn cynnwys endid rheoli canolog, y rheolwr, a ddefnyddir i dderbyn a monitro gwybodaeth gan asiantau (rhaglenni bach sydd wedi'u gosod ar y systemau i'w monitro). Mae'r rheolwr wedi'i osod ar Linux- system sy'n storio cronfa ddata a ddefnyddir i wirio cyfanrwydd ffeiliau. Mae hefyd yn storio logiau a chofnodion o ddigwyddiadau a chanlyniadau archwilio system.
Mae prosiect OSSEC yn cael ei gefnogi ar hyn o bryd gan Atomicorp. Mae'r cwmni'n curadu fersiwn ffynhonnell agored am ddim, ac, yn ogystal, yn cynnig fersiwn fasnachol o'r cynnyrch. podlediad lle mae rheolwr prosiect OSSEC yn siarad am y fersiwn diweddaraf o'r system - OSSEC 3.0. Mae hefyd yn sôn am hanes y prosiect, a sut mae'n wahanol i systemau masnachol modern a ddefnyddir ym maes diogelwch cyfrifiaduron.
5. meerkat
yn brosiect ffynhonnell agored sy'n canolbwyntio ar ddatrys prif broblemau diogelwch cyfrifiaduron. Yn benodol, mae'n cynnwys system canfod ymyrraeth, system atal ymyrraeth, ac offeryn monitro diogelwch rhwydwaith.
Lansiwyd y cynnyrch hwn yn 2009. Mae ei waith yn seiliedig ar reolau. Hynny yw, mae'r un sy'n ei ddefnyddio yn cael y cyfle i ddisgrifio rhai nodweddion traffig rhwydwaith. Os caiff y rheol ei sbarduno, yna mae Suricata yn cynhyrchu hysbysiad, gan rwystro neu dorri'r cysylltiad amheus, sydd, unwaith eto, yn dibynnu ar y rheolau a osodwyd. Mae'r prosiect hefyd yn cefnogi multithreading. Mae hyn yn ei gwneud hi'n bosibl prosesu nifer fawr o reolau yn gyflym mewn rhwydweithiau sy'n cludo llawer iawn o draffig. Diolch i gefnogaeth multithreading, mae gweinydd eithaf cyffredin yn gallu dadansoddi traffig yn llwyddiannus ar gyflymder o 10 Gb / s. Ar yr un pryd, nid oes rhaid i'r gweinyddwr gyfyngu ar y set o reolau a ddefnyddir ar gyfer dadansoddi traffig. Mae Suricata hefyd yn cefnogi stwnsio a thynnu ffeiliau.
Gellir ffurfweddu Suricata i redeg ar weinyddion rheolaidd neu ar beiriannau rhithwir, fel AWS, gan ddefnyddio nodwedd a ychwanegwyd yn ddiweddar at y cynnyrch .
Mae'r prosiect yn cefnogi sgriptiau Lua y gellir eu defnyddio i greu rhesymeg dadansoddi bygythiadau cymhleth a manwl.
Rheolir prosiect Suricata gan y Sefydliad Diogelwch Gwybodaeth Agored (OISF).
6. Zeek (Bro)
Fel Suricata, (Gelwid y prosiect hwn yn Bro yn flaenorol ac fe'i hailenwyd yn Zeek yn nigwyddiad BroCon 2018) hefyd yn system canfod ymyrraeth ac offeryn monitro diogelwch rhwydwaith sy'n gallu canfod anghysondebau megis gweithgareddau amheus neu beryglus. Mae Zeek yn wahanol i IDS traddodiadol yn yr ystyr, yn wahanol i systemau seiliedig ar reolau sy'n canfod eithriadau, mae Zeek hefyd yn dal metadata sy'n gysylltiedig â'r hyn sy'n digwydd ar y rhwydwaith. Gwneir hyn er mwyn deall cyd-destun ymddygiad rhwydwaith anarferol yn well. Mae hyn yn caniatáu, er enghraifft, wrth ddadansoddi galwad HTTP neu weithdrefn ar gyfer cyfnewid tystysgrifau diogelwch, edrych ar y protocol, ar benawdau pecynnau, ar enwau parth.
Os ydym yn ystyried Zeek fel offeryn diogelwch rhwydwaith, yna gallwn ddweud ei fod yn rhoi cyfle i arbenigwr ymchwilio i ddigwyddiad trwy ddysgu am yr hyn a ddigwyddodd cyn neu yn ystod y digwyddiad. Mae Zeek hefyd yn trosi data traffig rhwydwaith yn ddigwyddiadau lefel uchel ac yn ei gwneud hi'n bosibl gweithio gyda dehonglydd sgript. Mae'r cyfieithydd yn cefnogi'r iaith raglennu a ddefnyddir i ryngweithio â digwyddiadau ac i ddarganfod yn union beth mae'r digwyddiadau hyn yn ei olygu o ran diogelwch rhwydwaith. Gellir defnyddio iaith raglennu Zeek i addasu dehongliad metadata yn ôl yr angen gan sefydliad penodol. Mae'n eich galluogi i adeiladu amodau rhesymegol cymhleth gan ddefnyddio'r gweithredwyr AND, OR ac NOT. Mae hyn yn rhoi'r gallu i ddefnyddwyr addasu sut mae eu hamgylcheddau'n cael eu dadansoddi. Yn wir, dylid nodi, o'i gymharu â Suricata, y gall Zeek ymddangos fel offeryn eithaf cymhleth wrth gynnal gwybodaeth am fygythiadau diogelwch.
Os oes gennych ddiddordeb mewn mwy o fanylion am Zeek, cysylltwch â fideo.
7. Panther
yn blatfform pwerus, brodorol cwmwl ar gyfer monitro diogelwch parhaus. Fe'i trosglwyddwyd i'r categori ffynhonnell agored yn ddiweddar. Ar darddiad y prosiect yw'r prif bensaer yn ateb ar gyfer dadansoddiad awtomataidd o gylchgronau, y codwyd ei ffynhonnell agored gan Airbnb. Mae Panther yn rhoi un system i'r defnyddiwr ganfod yn ganolog ac ymateb i fygythiadau ym mhob amgylchedd. Gall y system hon dyfu gyda maint y seilwaith a wasanaethir. Trefnir canfod bygythiadau gan ddefnyddio rheolau penderfyniaethol tryloyw i leihau pethau cadarnhaol ffug a lleihau llwyth gwaith diangen ar gyfer gweithwyr diogelwch proffesiynol.
Ymhlith prif nodweddion Panther mae'r canlynol:
- Canfod mynediad anawdurdodedig i adnoddau trwy ddadansoddi logiau.
- Sgan bygythiad wedi'i weithredu trwy chwilio logiau am ddangosyddion sy'n nodi materion diogelwch. Cynhelir y chwiliad gan ddefnyddio meysydd data safonol Panter.
- Gwiriad system ar gyfer cydymffurfio â SOC / PCI / HIPAA gan ddefnyddio Mecanweithiau Panther.
- Diogelwch eich adnoddau cwmwl trwy drwsio gwallau cyfluniad yn awtomatig a all, os cânt eu hecsbloetio, achosi problemau difrifol.
Mae Panther yn cael ei ddefnyddio yng nghwmwl AWS sefydliad gan ddefnyddio AWS CloudFormation. Mae hyn yn galluogi'r defnyddiwr i reoli ei ddata bob amser.
Canlyniadau
Y dyddiau hyn, monitro diogelwch systemau yw'r dasg bwysicaf. Gall offer ffynhonnell agored helpu cwmnïau o bob maint i ddatrys y broblem hon, gan ddarparu llawer o gyfleoedd a bron dim yn costio neu'n rhad ac am ddim.
Annwyl ddarllenwyr! Pa offer monitro diogelwch ydych chi'n eu defnyddio?
Ffynhonnell: hab.com
