Die weit verbreitete Einführung von Cloud Computing hilft Unternehmen, ihr Geschäft zu skalieren. Doch der Einsatz neuer Plattformen bedeutet auch die Entstehung neuer Bedrohungen. Es ist keine leichte Aufgabe, innerhalb einer Organisation ein eigenes Team zu unterhalten, das für die Überwachung der Sicherheit von Cloud-Diensten verantwortlich ist. Bestehende Überwachungstools sind teuer und langsam. Sie sind bis zu einem gewissen Grad schwierig zu verwalten, wenn es um die Sicherung großer Cloud-Infrastrukturen geht. Um ihre Cloud-Sicherheit auf einem hohen Niveau zu halten, benötigen Unternehmen leistungsstarke, flexible und intuitive Tools, die über das bisher Verfügbare hinausgehen. Hier kommen Open-Source-Technologien zum Einsatz, die dazu beitragen, Sicherheitsbudgets zu schonen und von Spezialisten erstellt zu werden, die sich mit ihrem Geschäft auskennen.
Der Artikel, dessen Übersetzung wir heute veröffentlichen, bietet einen Überblick über 7 Open-Source-Tools zur Überwachung der Sicherheit von Cloud-Systemen. Diese Tools sollen vor Hackern und Cyberkriminellen schützen, indem sie Anomalien und unsichere Aktivitäten erkennen.
1. Osquery
ist ein System zur Low-Level-Überwachung und Analyse von Betriebssystemen, das es Sicherheitsexperten ermöglicht, komplexes Data Mining mit SQL durchzuführen. Das Osquery-Framework kann unter Linux, macOS, Windows und FreeBSD ausgeführt werden. Es repräsentiert das Betriebssystem (OS) als leistungsstarke relationale Datenbank. Dadurch können Sicherheitsspezialisten das Betriebssystem durch Ausführen von SQL-Abfragen untersuchen. Mithilfe einer Abfrage können Sie beispielsweise Informationen zu laufenden Prozessen, geladenen Kernelmodulen, offenen Netzwerkverbindungen, installierten Browsererweiterungen, Hardwareereignissen und Datei-Hashes erhalten.
Das Osquery-Framework wurde von Facebook erstellt. Sein Code wurde 2014 als Open Source veröffentlicht, nachdem das Unternehmen erkannte, dass nicht nur es selbst Tools zur Überwachung der Low-Level-Mechanismen von Betriebssystemen benötigte. Seitdem wird Osquery von Spezialisten von Unternehmen wie Dactiv, Google, Kolide, Trail of Bits, Uptycs und vielen anderen verwendet. Es war vor kurzem dass die Linux Foundation und Facebook einen Fonds zur Unterstützung von Osquery gründen werden.
Mit dem Hostüberwachungs-Daemon von Osquery, genannt osqueryd, können Sie Abfragen planen, die Daten aus der gesamten Infrastruktur Ihrer Organisation sammeln. Der Daemon sammelt Abfrageergebnisse und erstellt Protokolle, die Änderungen im Zustand der Infrastruktur widerspiegeln. Dies kann Sicherheitsexperten dabei helfen, über den Status des Systems auf dem Laufenden zu bleiben, und ist besonders hilfreich bei der Identifizierung von Anomalien. Mithilfe der Protokollaggregationsfunktionen von Osquery können Sie bekannte und unbekannte Malware finden und feststellen, wo Angreifer in Ihr System eingedrungen sind und welche Programme sie installiert haben. Lesen Sie mehr über die Anomalieerkennung mit Osquery.
2.GoAudit
System besteht aus zwei Hauptkomponenten. Der erste ist ein Code auf Kernel-Ebene, der zum Abfangen und Überwachen von Systemaufrufen entwickelt wurde. Die zweite Komponente ist ein User-Space-Daemon namens . Es ist dafür verantwortlich, Prüfergebnisse auf die Festplatte zu schreiben. , ein vom Unternehmen entwickeltes System und im Jahr 2016 veröffentlicht, soll auditd ersetzen. Es verfügt über verbesserte Protokollierungsfunktionen, indem vom Linux-Überwachungssystem generierte mehrzeilige Ereignismeldungen zur einfacheren Analyse in einzelne JSON-Blobs konvertiert werden. Mit GoAudit können Sie über das Netzwerk direkt auf Mechanismen auf Kernel-Ebene zugreifen. Darüber hinaus können Sie die minimale Ereignisfilterung auf dem Host selbst aktivieren (oder die Filterung vollständig deaktivieren). Gleichzeitig ist GoAudit ein Projekt, das nicht nur die Sicherheit gewährleisten soll. Dieses Tool ist als funktionsreiches Tool für Systemsupport- oder Entwicklungsexperten konzipiert. Es hilft, Probleme in großen Infrastrukturen zu bekämpfen.
Das GoAudit-System ist in Golang geschrieben. Es handelt sich um eine typsichere und leistungsstarke Sprache. Überprüfen Sie vor der Installation von GoAudit, ob Ihre Golang-Version höher als 1.7 ist.
3. Grapl
Projekt (Graph Analytics Platform) wurde im März letzten Jahres in die Open-Source-Kategorie überführt. Es handelt sich um eine relativ neue Plattform zur Erkennung von Sicherheitsproblemen, zur Durchführung von Computerforensik und zur Erstellung von Vorfallberichten. Angreifer nutzen häufig so etwas wie ein Diagrammmodell, um die Kontrolle über ein einzelnes System zu erlangen und ausgehend von diesem System andere Netzwerksysteme zu erkunden. Daher ist es ganz natürlich, dass Systemverteidiger auch einen Mechanismus verwenden, der auf einem Modell eines Graphen der Verbindungen von Netzwerksystemen basiert und dabei die Besonderheiten der Beziehungen zwischen Systemen berücksichtigt. Grapl demonstriert einen Versuch, Maßnahmen zur Erkennung und Reaktion von Vorfällen auf der Grundlage eines Diagrammmodells statt eines Protokollmodells zu implementieren.
Das Grapl-Tool nimmt sicherheitsrelevante Protokolle (Sysmon-Protokolle oder Protokolle im regulären JSON-Format) und konvertiert sie in Untergraphen (wodurch für jeden Knoten eine „Identität“ definiert wird). Anschließend werden die Teilgraphen zu einem gemeinsamen Graphen (Master Graph) zusammengefasst, der die in den analysierten Umgebungen durchgeführten Aktionen darstellt. Grapl führt dann Analysatoren für das resultierende Diagramm aus und verwendet dabei „Angreifersignaturen“, um Anomalien und verdächtige Muster zu identifizieren. Wenn der Analysator einen verdächtigen Untergraphen identifiziert, generiert Grapl ein Engagement-Konstrukt, das zur Untersuchung bestimmt ist. Engagement ist eine Python-Klasse, die beispielsweise in ein Jupyter-Notebook geladen werden kann, das in der AWS-Umgebung bereitgestellt wird. Darüber hinaus kann Grapl durch die Diagrammerweiterung den Umfang der Informationssammlung zur Untersuchung von Vorfällen erhöhen.
Wenn Sie Grapl besser verstehen möchten, können Sie einen Blick darauf werfen interessantes Video - Aufzeichnung eines Auftritts von BSides Las Vegas 2019.
4. OSSEC
ist ein 2004 gegründetes Projekt. Dieses Projekt kann im Allgemeinen als Open-Source-Sicherheitsüberwachungsplattform charakterisiert werden, die für die Host-Analyse und die Erkennung von Eindringlingen entwickelt wurde. OSSEC wird mehr als 500000 Mal pro Jahr heruntergeladen. Diese Plattform wird hauptsächlich zur Erkennung von Einbrüchen auf Servern verwendet. Darüber hinaus sprechen wir sowohl über lokale als auch über Cloud-Systeme. OSSEC wird auch häufig als Tool zur Untersuchung von Überwachungs- und Analyseprotokollen von Firewalls, Intrusion-Detection-Systemen und Webservern sowie zur Untersuchung von Authentifizierungsprotokollen verwendet.
OSSEC kombiniert die Fähigkeiten eines Host-Based Intrusion Detection System (HIDS) mit einem Security Incident Management (SIM) und Security Information and Event Management (SIEM)-System. OSSEC kann auch die Dateiintegrität in Echtzeit überwachen. Dies überwacht beispielsweise die Windows-Registrierung und erkennt Rootkits. OSSEC ist in der Lage, Stakeholder in Echtzeit über erkannte Probleme zu informieren und hilft, schnell auf erkannte Bedrohungen zu reagieren. Diese Plattform unterstützt Microsoft Windows und die meisten modernen Unix-ähnlichen Systeme, einschließlich Linux, FreeBSD, OpenBSD und Solaris.
Die OSSEC-Plattform besteht aus einer zentralen Kontrolleinheit, einem Manager, der zum Empfang und zur Überwachung von Informationen von Agenten (kleinen Programmen, die auf den zu überwachenden Systemen installiert sind) dient. Der Manager wird auf einem Linux-System installiert, das eine Datenbank speichert, mit der die Integrität von Dateien überprüft wird. Außerdem werden Protokolle und Aufzeichnungen von Ereignissen und Systemprüfungsergebnissen gespeichert.
Das OSSEC-Projekt wird derzeit von Atomicorp unterstützt. Das Unternehmen betreut eine kostenlose Open-Source-Version und bietet darüber hinaus an kommerzielle Version des Produkts. Podcast, in dem der OSSEC-Projektmanager über die neueste Version des Systems spricht – OSSEC 3.0. Es wird auch über die Geschichte des Projekts gesprochen und wie es sich von modernen kommerziellen Systemen unterscheidet, die im Bereich der Computersicherheit eingesetzt werden.
5. Erdmännchen
ist ein Open-Source-Projekt, das sich auf die Lösung der Hauptprobleme der Computersicherheit konzentriert. Es umfasst insbesondere ein Intrusion-Detection-System, ein Intrusion-Prevention-System und ein Tool zur Überwachung der Netzwerksicherheit.
Dieses Produkt erschien im Jahr 2009. Seine Arbeit basiert auf Regeln. Das heißt, der Benutzer hat die Möglichkeit, bestimmte Merkmale des Netzwerkverkehrs zu beschreiben. Wenn die Regel ausgelöst wird, generiert Suricata eine Benachrichtigung und blockiert oder beendet die verdächtige Verbindung, was wiederum von den angegebenen Regeln abhängt. Das Projekt unterstützt auch den Multithread-Betrieb. Dies ermöglicht die schnelle Verarbeitung einer großen Anzahl von Regeln in Netzwerken mit großem Datenverkehr. Dank der Multi-Threading-Unterstützung ist ein ganz normaler Server in der Lage, den Datenverkehr mit einer Geschwindigkeit von 10 Gbit/s erfolgreich zu analysieren. In diesem Fall muss der Administrator den für die Verkehrsanalyse verwendeten Regelsatz nicht einschränken. Suricata unterstützt auch Hashing und Dateiabruf.
Suricata kann mithilfe einer kürzlich im Produkt eingeführten Funktion für die Ausführung auf regulären Servern oder auf virtuellen Maschinen wie AWS konfiguriert werden .
Das Projekt unterstützt Lua-Skripte, mit denen komplexe und detaillierte Logik zur Analyse von Bedrohungssignaturen erstellt werden kann.
Das Suricata-Projekt wird von der Open Information Security Foundation (OISF) verwaltet.
6. Zeek (Bro)
Wie Suricata, (Dieses Projekt hieß früher Bro und wurde auf der BroCon 2018 in Zeek umbenannt) ist ebenfalls ein Intrusion-Detection-System und ein Tool zur Überwachung der Netzwerksicherheit, das Anomalien wie verdächtige oder gefährliche Aktivitäten erkennen kann. Zeek unterscheidet sich von herkömmlichem IDS dadurch, dass Zeek im Gegensatz zu regelbasierten Systemen, die Ausnahmen erkennen, auch Metadaten erfasst, die mit den Vorgängen im Netzwerk verknüpft sind. Dies geschieht, um den Kontext ungewöhnlichen Netzwerkverhaltens besser zu verstehen. Dies ermöglicht beispielsweise durch die Analyse eines HTTP-Aufrufs oder des Vorgangs zum Austausch von Sicherheitszertifikaten einen Blick auf das Protokoll, auf die Paketheader, auf die Domänennamen.
Wenn wir Zeek als Netzwerksicherheitstool betrachten, können wir sagen, dass es einem Spezialisten die Möglichkeit gibt, einen Vorfall zu untersuchen, indem er erfährt, was vor oder während des Vorfalls passiert ist. Zeek wandelt außerdem Netzwerkverkehrsdaten in High-Level-Ereignisse um und bietet die Möglichkeit, mit einem Skriptinterpreter zu arbeiten. Der Interpreter unterstützt eine Programmiersprache, die zur Interaktion mit Ereignissen und zur Ermittlung der genauen Bedeutung dieser Ereignisse im Hinblick auf die Netzwerksicherheit verwendet wird. Mit der Programmiersprache Zeek kann die Interpretation von Metadaten an die Bedürfnisse einer bestimmten Organisation angepasst werden. Sie können damit komplexe logische Bedingungen mithilfe der Operatoren AND, OR und NOT erstellen. Dies gibt Benutzern die Möglichkeit, die Art und Weise, wie ihre Umgebungen analysiert werden, anzupassen. Es sollte jedoch beachtet werden, dass Zeek im Vergleich zu Suricata wie ein recht komplexes Werkzeug bei der Aufklärung von Sicherheitsbedrohungen erscheint.
Wenn Sie an weiteren Einzelheiten zu Zeek interessiert sind, wenden Sie sich bitte an Video.
7.Panther
ist eine leistungsstarke, native Cloud-native Plattform für die kontinuierliche Sicherheitsüberwachung. Es wurde kürzlich in die Kategorie Open Source überführt. Der Hauptarchitekt steht am Ursprung des Projekts — Lösungen zur automatisierten Protokollanalyse, deren Code von Airbnb geöffnet wurde. Panther bietet dem Benutzer ein einziges System zur zentralen Erkennung von Bedrohungen in allen Umgebungen und zur Organisation einer Reaktion darauf. Dieses System kann mit der Größe der bedienten Infrastruktur wachsen. Die Bedrohungserkennung basiert auf transparenten, deterministischen Regeln, um Fehlalarme und unnötigen Arbeitsaufwand für Sicherheitsexperten zu reduzieren.
Zu den Hauptmerkmalen von Panther gehören die folgenden:
- Erkennung von unbefugtem Zugriff auf Ressourcen durch Analyse von Protokollen.
- Bedrohungserkennung, implementiert durch Durchsuchen von Protokollen nach Indikatoren, die auf Sicherheitsprobleme hinweisen. Die Suche erfolgt über die standardisierten Datenfelder von Panter.
- Überprüfung des Systems auf Einhaltung der SOC/PCI/HIPAA-Standards mithilfe von Panther-Mechanismen.
- Schützen Sie Ihre Cloud-Ressourcen, indem Sie Konfigurationsfehler automatisch korrigieren, die bei Ausnutzung durch Angreifer schwerwiegende Probleme verursachen könnten.
Panther wird mithilfe von AWS CloudFormation in der AWS-Cloud eines Unternehmens bereitgestellt. Dadurch behält der Nutzer jederzeit die Kontrolle über seine Daten.
Ergebnisse
Die Überwachung der Systemsicherheit ist heutzutage eine wichtige Aufgabe. Bei der Lösung dieses Problems können Unternehmen jeder Größe durch Open-Source-Tools unterstützt werden, die viele Möglichkeiten bieten und fast nichts kosten oder kostenlos sind.
Liebe Leser! Welche Sicherheitsüberwachungstools verwenden Sie?
Source: habr.com