Den udbredte anvendelse af cloud computing hjælper virksomheder med at skalere deres forretning. Men brugen af nye platforme betyder også fremkomsten af nye trusler. At vedligeholde dit eget team i en organisation, der er ansvarlig for at overvåge sikkerheden af cloud-tjenester, er ikke en let opgave. Eksisterende overvågningsværktøjer er dyre og langsomme. De er til en vis grad svære at administrere, når det kommer til at sikre storstilet cloud-infrastruktur. For at holde deres cloud-sikkerhed på et højt niveau har virksomheder brug for kraftfulde, fleksible og intuitive værktøjer, der går ud over, hvad der tidligere var tilgængeligt. Det er her, open source-teknologier er meget nyttige, der hjælper med at spare sikkerhedsbudgetter og er skabt af specialister, der ved meget om deres forretning.
Artiklen, hvis oversættelse vi udgiver i dag, giver et overblik over 7 open source-værktøjer til overvågning af sikkerheden i cloud-systemer. Disse værktøjer er designet til at beskytte mod hackere og cyberkriminelle ved at opdage uregelmæssigheder og usikre aktiviteter.
1. Osquery
er et system til overvågning og analyse på lavt niveau af operativsystemer, der gør det muligt for sikkerhedsprofessionelle at udføre kompleks data mining ved hjælp af SQL. Osquery-rammen kan køre på Linux, macOS, Windows og FreeBSD. Det repræsenterer operativsystemet (OS) som en højtydende relationsdatabase. Dette giver sikkerhedsspecialister mulighed for at undersøge operativsystemet ved at køre SQL-forespørgsler. Ved at bruge en forespørgsel kan du f.eks. finde ud af om kørende processer, indlæste kernemoduler, åbne netværksforbindelser, installerede browserudvidelser, hardwarehændelser og filhash.
Osquery-rammen blev skabt af Facebook. Dens kode var open source i 2014, efter at virksomheden indså, at det ikke kun var sig selv, der havde brug for værktøjer til at overvåge mekanismerne på lavt niveau i operativsystemer. Siden da er Osquery blevet brugt af specialister fra virksomheder som Dactiv, Google, Kolide, Trail of Bits, Uptycs og mange andre. Det var for nylig at Linux Foundation og Facebook skal danne en fond til støtte for Osquery.
Osquerys værtsovervågningsdæmon, kaldet osqueryd, giver dig mulighed for at planlægge forespørgsler, der indsamler data fra hele din organisations infrastruktur. Dæmonen indsamler forespørgselsresultater og opretter logfiler, der afspejler ændringer i infrastrukturens tilstand. Dette kan hjælpe sikkerhedsprofessionelle med at holde sig ajour med systemets status og er især nyttigt til at identificere uregelmæssigheder. Osquerys log-aggregeringsfunktioner kan bruges til at hjælpe dig med at finde kendt og ukendt malware, samt identificere hvor angribere er kommet ind i dit system og finde hvilke programmer de har installeret. Læs mere om anomalidetektion ved hjælp af Osquery.
2.GoAudit
System består af to hovedkomponenter. Den første er noget kode på kerneniveau designet til at opsnappe og overvåge systemopkald. Den anden komponent er en brugerrumsdæmon kaldet . Den er ansvarlig for at skrive revisionsresultater til disk. , et system skabt af virksomheden og udgivet i 2016, beregnet til at erstatte revideret. Det har forbedret logningsfunktioner ved at konvertere multi-line hændelsesmeddelelser genereret af Linux-revisionssystemet til enkelte JSON-blobs for nemmere analyse. Med GoAudit kan du få direkte adgang til mekanismer på kerneniveau over netværket. Derudover kan du aktivere minimal hændelsesfiltrering på selve værten (eller helt deaktivere filtrering). Samtidig er GoAudit et projekt, der ikke kun er designet til at sikre sikkerheden. Dette værktøj er designet som et funktionsrigt værktøj til systemsupport- eller udviklingsprofessionelle. Det hjælper med at bekæmpe problemer i storskala infrastrukturer.
GoAudit-systemet er skrevet i Golang. Det er et typesikkert og højtydende sprog. Før du installerer GoAudit, skal du kontrollere, at din version af Golang er højere end 1.7.
3. Grapl
Projekt (Graph Analytics Platform) blev overført til open source-kategorien i marts sidste år. Det er en relativt ny platform til at opdage sikkerhedsproblemer, udføre computerefterforskning og generere hændelsesrapporter. Angribere arbejder ofte ved at bruge noget som en grafmodel, hvor de får kontrol over et enkelt system og udforsker andre netværkssystemer med udgangspunkt i dette system. Derfor er det helt naturligt, at systemforsvarere også vil bruge en mekanisme baseret på en model af en graf over forbindelser af netværkssystemer, under hensyntagen til de særlige forhold ved relationer mellem systemer. Grapl demonstrerer et forsøg på at implementere hændelsesdetektering og responsforanstaltninger baseret på en grafmodel snarere end en logmodel.
Grapl-værktøjet tager sikkerhedsrelaterede logfiler (Sysmon-logfiler eller logfiler i almindeligt JSON-format) og konverterer dem til undergrafer (der definerer en "identitet" for hver node). Derefter kombinerer den undergraferne til en fælles graf (Master Graph), som repræsenterer handlingerne udført i de analyserede miljøer. Grapl kører derefter Analyzers på den resulterende graf ved hjælp af "angribersignaturer" for at identificere anomalier og mistænkelige mønstre. Når analysatoren identificerer en mistænkelig subgraf, genererer Grapl en Engagement-konstruktion beregnet til undersøgelse. Engagement er en Python-klasse, der for eksempel kan indlæses i en Jupyter Notebook, der er implementeret i AWS-miljøet. Grapl kan desuden øge omfanget af informationsindsamling til undersøgelse af hændelser gennem grafudvidelse.
Hvis du vil forstå Grapl bedre, kan du tage et kig interessant video - optagelse af en optræden fra BSides Las Vegas 2019.
4. OSSEC
er et projekt grundlagt i 2004. Dette projekt kan generelt karakteriseres som en open source-sikkerhedsovervågningsplatform designet til værtsanalyse og indtrængningsdetektion. OSSEC downloades mere end 500000 gange om året. Denne platform bruges hovedsageligt som et middel til at detektere indtrængen på servere. Desuden taler vi om både lokale og cloud-systemer. OSSEC bruges også ofte som et værktøj til at undersøge overvågnings- og analyselogfiler for firewalls, indtrængendetekteringssystemer, webservere og også til at studere autentificeringslogfiler.
OSSEC kombinerer funktionerne i et værtsbaseret indtrængendetektionssystem (HIDS) med et Security Incident Management (SIM) og Security Information and Event Management (SIEM) system. . OSSEC kan også overvåge filintegritet i realtid. Dette overvåger for eksempel Windows-registreringsdatabasen og registrerer rootkits. OSSEC er i stand til at underrette interessenter om opdagede problemer i realtid og hjælper med hurtigt at reagere på opdagede trusler. Denne platform understøtter Microsoft Windows og de fleste moderne Unix-lignende systemer, inklusive Linux, FreeBSD, OpenBSD og Solaris.
OSSEC-platformen består af en central kontrolenhed, en manager, der bruges til at modtage og overvåge information fra agenter (små programmer installeret på de systemer, der skal overvåges). Manageren er installeret på et Linux-system, som gemmer en database, der bruges til at kontrollere filernes integritet. Det gemmer også logfiler og registreringer af hændelser og systemrevisionsresultater.
OSSEC-projektet er i øjeblikket støttet af Atomicorp. Virksomheden fører tilsyn med en gratis open source-version og tilbyder derudover kommerciel version af produktet. podcast, hvor OSSEC-projektlederen fortæller om den seneste version af systemet - OSSEC 3.0. Den fortæller også om projektets historie, og hvordan det adskiller sig fra moderne kommercielle systemer, der bruges inden for computersikkerhed.
5. surikat
er et open source-projekt med fokus på at løse de vigtigste problemer med computersikkerhed. Det omfatter især et indtrængendetekteringssystem, et indtrængenforebyggelsessystem og et netværkssikkerhedsovervågningsværktøj.
Dette produkt udkom i 2009. Hans arbejde er baseret på regler. Det vil sige, at den, der bruger det, har mulighed for at beskrive visse funktioner i netværkstrafikken. Hvis reglen udløses, genererer Suricata en meddelelse, blokerer eller afslutter den mistænkelige forbindelse, hvilket igen afhænger af de specificerede regler. Projektet understøtter også flertrådsdrift. Dette gør det muligt hurtigt at behandle en lang række regler i netværk, der bærer store mængder trafik. Takket være multi-threading support er en helt almindelig server i stand til med succes at analysere trafik, der rejser med en hastighed på 10 Gbit/s. I dette tilfælde behøver administratoren ikke at begrænse det regelsæt, der bruges til trafikanalyse. Suricata understøtter også hashing og filhentning.
Suricata kan konfigureres til at køre på almindelige servere eller på virtuelle maskiner, såsom AWS, ved hjælp af en nyligt introduceret funktion i produktet .
Projektet understøtter Lua-scripts, som kan bruges til at skabe kompleks og detaljeret logik til analyse af trusselssignaturer.
Suricata-projektet ledes af Open Information Security Foundation (OISF).
6. Zeek (bror)
Ligesom Suricata, (dette projekt hed tidligere Bro og blev omdøbt til Zeek ved BroCon 2018) er også et indtrængendetekteringssystem og netværkssikkerhedsovervågningsværktøj, der kan opdage uregelmæssigheder såsom mistænkelig eller farlig aktivitet. Zeek adskiller sig fra traditionel IDS ved, at i modsætning til regelbaserede systemer, der registrerer undtagelser, fanger Zeek også metadata, der er forbundet med det, der sker på netværket. Dette gøres for bedre at forstå sammenhængen med usædvanlig netværksadfærd. Dette giver mulighed for, for eksempel ved at analysere et HTTP-kald eller proceduren for udveksling af sikkerhedscertifikater, at se på protokollen, på pakkehovederne, på domænenavnene.
Hvis vi betragter Zeek som et netværkssikkerhedsværktøj, så kan vi sige, at det giver en specialist mulighed for at undersøge en hændelse ved at lære om, hvad der skete før eller under hændelsen. Zeek konverterer også netværkstrafikdata til hændelser på højt niveau og giver mulighed for at arbejde med en scriptfortolker. Tolken understøtter et programmeringssprog, der bruges til at interagere med begivenheder og til at finde ud af, hvad præcis disse begivenheder betyder med hensyn til netværkssikkerhed. Zeek-programmeringssproget kan bruges til at tilpasse fortolkningen af metadata, så den passer til en specifik organisations behov. Det giver dig mulighed for at bygge komplekse logiske forhold ved hjælp af AND, OR og NOT operatorerne. Dette giver brugerne mulighed for at tilpasse, hvordan deres miljøer analyseres. Det skal dog bemærkes, at i sammenligning med Suricata, kan Zeek virke som et ret komplekst værktøj, når man udfører rekognoscering af sikkerhedstrusler.
Hvis du er interesseret i flere detaljer om Zeek, så kontakt venligst video.
7. Panter
er en kraftfuld, native cloud-native platform til kontinuerlig sikkerhedsovervågning. Det blev for nylig overført til open source-kategorien. Hovedarkitekten er i begyndelsen af projektet — løsninger til automatiseret loganalyse, hvis kode blev åbnet af Airbnb. Panther giver brugeren et enkelt system til centralt at detektere trusler i alle miljøer og organisere en reaktion på dem. Dette system er i stand til at vokse sammen med størrelsen af den infrastruktur, der betjenes. Trusselsdetektion er baseret på gennemsigtige, deterministiske regler for at reducere falske positiver og unødvendig arbejdsbyrde for sikkerhedsprofessionelle.
Blandt hovedfunktionerne i Panther er følgende:
- Registrering af uautoriseret adgang til ressourcer ved at analysere logfiler.
- Trusselsdetektion, implementeret ved at søge i logfiler efter indikatorer, der indikerer sikkerhedsproblemer. Søgningen udføres ved hjælp af Panters standardiserede datafelter.
- Kontrol af systemet for overensstemmelse med SOC/PCI/HIPAA standarder ved hjælp af Panther mekanismer.
- Beskyt dine cloud-ressourcer ved automatisk at korrigere konfigurationsfejl, der kan forårsage alvorlige problemer, hvis de udnyttes af angribere.
Panther er implementeret på en organisations AWS-sky ved hjælp af AWS CloudFormation. Dette giver brugeren mulighed for altid at have kontrol over sine data.
Resultaterne af
Overvågning af systemsikkerhed er en kritisk opgave i disse dage. Ved at løse dette problem kan virksomheder af enhver størrelse blive hjulpet af open source-værktøjer, der giver en masse muligheder og næsten ingenting koster eller er gratis.
Kære læsere! Hvilke sikkerhedsovervågningsværktøjer bruger du?
Kilde: www.habr.com