ProHoster > Blog > διαχείριση > 5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

Σε τι διαφέρει ένας καλός αξιωματικός ασφάλειας πληροφορικής από έναν κανονικό; Όχι, όχι από το γεγονός ότι ανά πάσα στιγμή θα καλέσει από μνήμης τον αριθμό των μηνυμάτων που έστειλε χθες ο μάνατζερ Ιγκόρ στη συνάδελφό του Μαρία. Ένας καλός αξιωματικός ασφαλείας προσπαθεί να εντοπίσει εκ των προτέρων πιθανές παραβιάσεις και να τις πιάσει σε πραγματικό χρόνο, καταβάλλοντας κάθε δυνατή προσπάθεια ώστε να μην υπάρξει συνέχεια του περιστατικού. Τα συστήματα διαχείρισης συμβάντων ασφαλείας (SIEM, από την ασφάλεια πληροφοριών και διαχείριση συμβάντων) απλοποιούν σημαντικά τη διαδικασία γρήγορης διόρθωσης και αποκλεισμού τυχόν προσπαθειών παραβίασης.

Παραδοσιακά, τα συστήματα SIEM συνδυάζουν ένα σύστημα διαχείρισης ασφάλειας πληροφοριών και ένα σύστημα διαχείρισης συμβάντων ασφαλείας. Ένα σημαντικό χαρακτηριστικό των συστημάτων είναι η ανάλυση συμβάντων ασφαλείας σε πραγματικό χρόνο, η οποία σας επιτρέπει να ανταποκρίνεστε σε αυτά πριν από την έναρξη της υπάρχουσας βλάβης.

Τα κύρια καθήκοντα των συστημάτων SIEM:

  • Συλλογή και κανονικοποίηση δεδομένων
  • Συσχέτιση δεδομένων
  • Συναγερμός
  • Πίνακες οπτικοποίησης
  • Οργάνωση αποθήκευσης δεδομένων
  • Αναζήτηση και ανάλυση δεδομένων
  • Αναφορά

Λόγοι για την υψηλή ζήτηση για συστήματα SIEM

Πρόσφατα, η πολυπλοκότητα και ο συντονισμός των επιθέσεων στα πληροφοριακά συστήματα έχουν αυξηθεί σημαντικά. Ταυτόχρονα, το σύμπλεγμα των εργαλείων προστασίας πληροφοριών που χρησιμοποιούνται γίνεται επίσης πιο περίπλοκο - συστήματα ανίχνευσης εισβολής δικτύου και κεντρικού υπολογιστή, συστήματα DLP, συστήματα προστασίας από ιούς και τείχη προστασίας, σαρωτές ευπάθειας κ.λπ. Κάθε εργαλείο προστασίας δημιουργεί μια ροή γεγονότων με διαφορετικές λεπτομέρειες και συχνά μπορείτε να δείτε μια επίθεση μόνο με την υπέρθεση συμβάντων από διαφορετικά συστήματα.

Υπάρχουν πολλά πράγματα για όλα τα είδη εμπορικών συστημάτων SIEM γραπτός, αλλά προσφέρουμε μια σύντομη επισκόπηση των δωρεάν πλήρους συστημάτων ανοιχτού κώδικα SIEM που δεν έχουν τεχνητούς περιορισμούς στον αριθμό των χρηστών ή την ποσότητα των αποθηκευμένων δεδομένων που λαμβάνονται και είναι επίσης εύκολα κλιμακούμενα και υποστηρίζονται. Ελπίζουμε ότι αυτό θα βοηθήσει στην αξιολόγηση των δυνατοτήτων τέτοιων συστημάτων και θα αποφασίσει εάν θα ενσωματωθούν τέτοιες λύσεις στις επιχειρηματικές διαδικασίες της εταιρείας.

AlienVault OSSIM

5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

Το AlienVault OSSIM είναι η έκδοση ανοιχτού κώδικα του AlienVault USM, ενός από τα κορυφαία εμπορικά συστήματα SIEM. Το OSSIM είναι ένα πλαίσιο που αποτελείται από πολλά έργα ανοιχτού κώδικα, συμπεριλαμβανομένου του συστήματος ανίχνευσης εισβολής δικτύου Snort, του συστήματος παρακολούθησης δικτύου και κεντρικού υπολογιστή Nagios, του συστήματος ανίχνευσης εισβολής κεντρικού υπολογιστή OSSEC και του σαρωτή ευπάθειας OpenVAS.

Η παρακολούθηση συσκευής χρησιμοποιεί AlienVault Agent, ο οποίος στέλνει αρχεία καταγραφής από τον κεντρικό υπολογιστή σε μορφή syslog στην πλατφόρμα GELF ή μπορεί να χρησιμοποιηθεί μια προσθήκη για ενσωμάτωση με υπηρεσίες τρίτων, όπως η υπηρεσία αντίστροφου διακομιστή μεσολάβησης ιστότοπου του Cloudflare ή το σύστημα ελέγχου ταυτότητας πολλαπλών παραγόντων της Okta .

Η έκδοση USM διαφέρει από την OSSIM σε βελτιωμένη διαχείριση αρχείων καταγραφής, παρακολούθηση υποδομής cloud, αυτοματισμό και ενημερωμένες πληροφορίες και οπτικοποίηση απειλών.

Πλεονεκτήματα

  • Χτισμένο σε αποδεδειγμένα έργα ανοιχτού κώδικα.
  • Μεγάλη κοινότητα χρηστών και προγραμματιστών.

Περιορισμοί

  • Δεν υποστηρίζει παρακολούθηση πλατφόρμας cloud (όπως AWS ή Azure).
  • Δεν υπάρχει διαχείριση αρχείων καταγραφής, οπτικοποίηση, αυτοματοποίηση και ενοποίηση με υπηρεσίες τρίτων.

Πηγή

MozDef (Mozilla Defence Platform)

5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

Το σύστημα MozDef SIEM της Mozilla χρησιμοποιείται για την αυτοματοποίηση των διαδικασιών χειρισμού συμβάντων ασφαλείας. Το σύστημα έχει σχεδιαστεί από την αρχή για μέγιστη απόδοση, επεκτασιμότητα και ανοχή σφαλμάτων, με αρχιτεκτονική microservice - κάθε υπηρεσία εκτελείται σε ένα κοντέινερ Docker.

Όπως το OSSIM, το MozDef είναι χτισμένο σε έργα ανοιχτού κώδικα δοκιμασμένα στο χρόνο, συμπεριλαμβανομένης της ενότητας ευρετηρίασης και αναζήτησης αρχείων καταγραφής Elasticsearch, του πλαισίου Meteor για τη δημιουργία μιας ευέλικτης διεπαφής ιστού και της προσθήκης Kibana για οπτικοποίηση και σχεδίαση.

Ο συσχετισμός και η ειδοποίηση συμβάντων γίνονται χρησιμοποιώντας ένα ερώτημα Elasticsearch, επιτρέποντάς σας να γράψετε τους δικούς σας κανόνες χειρισμού συμβάντων και ειδοποίησης χρησιμοποιώντας Python. Σύμφωνα με το Mozilla, το MozDef μπορεί να χειριστεί πάνω από 300 εκατομμύρια συμβάντα την ημέρα. Το MozDef δέχεται συμβάντα μόνο σε μορφή JSON, αλλά υπάρχει ενοποίηση με υπηρεσίες τρίτων.

Πλεονεκτήματα

  • Δεν χρησιμοποιεί πράκτορες - λειτουργεί με τυπικά αρχεία καταγραφής JSON.
  • Εύκολη κλιμάκωση χάρη στην αρχιτεκτονική microservice.
  • Υποστηρίζει πηγές δεδομένων υπηρεσιών cloud, συμπεριλαμβανομένων των AWS CloudTrail και GuardDuty.

Περιορισμοί

  • Ένα νέο και λιγότερο καθιερωμένο σύστημα.

Πηγή

Wazuh

5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

Το Wazuh ξεκίνησε ως διχάλα του OSSEC, ενός από τα πιο δημοφιλή SIEM ανοιχτού κώδικα. Και τώρα είναι η δική του μοναδική λύση με νέα λειτουργικότητα, διορθώσεις σφαλμάτων και βελτιστοποιημένη αρχιτεκτονική.

Το σύστημα είναι χτισμένο στο ElasticStack (Elasticsearch, Logstash, Kibana) και υποστηρίζει τόσο τη συλλογή δεδομένων που βασίζεται σε πράκτορες όσο και την απορρόφηση αρχείων καταγραφής συστήματος. Αυτό το καθιστά αποτελεσματικό για την παρακολούθηση συσκευών που δημιουργούν αρχεία καταγραφής αλλά δεν υποστηρίζουν την εγκατάσταση πρακτόρων - συσκευές δικτύου, εκτυπωτές και περιφερειακά.

Το Wazuh υποστηρίζει υπάρχοντες πράκτορες OSSEC και παρέχει ακόμη και καθοδήγηση σχετικά με τη μετάβαση από το OSSEC στο Wazuh. Αν και το OSSEC εξακολουθεί να διατηρείται ενεργά, το Wazuh θεωρείται ως συνέχεια του OSSEC λόγω της προσθήκης μιας νέας διεπαφής ιστού, του REST API, ενός πιο ολοκληρωμένου συνόλου κανόνων και πολλών άλλων βελτιώσεων.

Πλεονεκτήματα

  • Βασισμένο και συμβατό με το δημοφιλές SIEM OSSEC.
  • Υποστηρίζει διάφορες επιλογές εγκατάστασης: Docker, Puppet, Chef, Ansible.
  • Υποστηρίζει την παρακολούθηση υπηρεσιών cloud, συμπεριλαμβανομένων των AWS και Azure.
  • Περιλαμβάνει ένα ολοκληρωμένο σύνολο κανόνων για τον εντοπισμό πολλών τύπων επιθέσεων και επιτρέπει τη σύγκριση τους σύμφωνα με το PCI DSS v3.1 και το CIS.
  • Ενσωματώνεται με το σύστημα αποθήκευσης και ανάλυσης αρχείων καταγραφής Splunk, οπτικοποίηση συμβάντων και υποστήριξη API.

Περιορισμοί

  • Πολύπλοκη αρχιτεκτονική - Απαιτεί μια πλήρη ανάπτυξη Elastic Stack εκτός από τα στοιχεία διακομιστή Wazuh.

Πηγή

Πρελούδιο OSS

5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

Το Prelude OSS είναι μια έκδοση ανοιχτού κώδικα του εμπορικού Prelude SIEM που αναπτύχθηκε από τη γαλλική εταιρεία CS. Η λύση είναι ένα ευέλικτο αρθρωτό σύστημα SIEM που υποστηρίζει πολλές μορφές αρχείων καταγραφής, ενσωμάτωση με εργαλεία τρίτων όπως το OSSEC, το Snort και το σύστημα ανίχνευσης δικτύου Suricata.

Κάθε συμβάν κανονικοποιείται σε ένα μήνυμα IDMEF, το οποίο απλοποιεί την ανταλλαγή δεδομένων με άλλα συστήματα. Υπάρχει όμως και μια μύγα στην αλοιφή - το Prelude OSS είναι πολύ περιορισμένο σε απόδοση και λειτουργικότητα σε σύγκριση με την εμπορική έκδοση του Prelude SIEM και προορίζεται περισσότερο για μικρά έργα ή για τη μελέτη λύσεων SIEM και την αξιολόγηση του Prelude SIEM.

Πλεονεκτήματα

  • Σύστημα δοκιμασμένο στο χρόνο που αναπτύχθηκε από το 1998.
  • Υποστηρίζει πολλές διαφορετικές μορφές καταγραφής.
  • Κανονικοποιεί τα δεδομένα σε μορφή IMDEF, γεγονός που καθιστά εύκολη τη μεταφορά δεδομένων σε άλλα συστήματα ασφαλείας.

Περιορισμοί

  • Σημαντικά περιορισμένη λειτουργικότητα και απόδοση σε σύγκριση με άλλα συστήματα SIEM ανοιχτού κώδικα.

Πηγή

Sagan

5 συστήματα διαχείρισης συμβάντων ασφαλείας ανοιχτού κώδικα

Το Sagan είναι ένα SIEM υψηλής απόδοσης που δίνει έμφαση στη συμβατότητα με το Snort. Εκτός από την υποστήριξη κανόνων που έχουν γραφτεί για το Snort, ο Sagan μπορεί να γράψει στη βάση δεδομένων Snort και μπορεί ακόμη και να χρησιμοποιηθεί με τη διεπαφή Shuil. Βασικά, είναι μια ελαφριά, πολλαπλών νημάτων λύση που προσφέρει νέες δυνατότητες, ενώ παραμένει φιλική στους χρήστες του Snort.

Πλεονεκτήματα

  • Πλήρως συμβατό με τη βάση δεδομένων Snort, τους κανόνες και τη διεπαφή χρήστη.
  • Η αρχιτεκτονική πολλαπλών νημάτων εξασφαλίζει υψηλή απόδοση.

Περιορισμοί

  • Σχετικά νέο έργο με μια μικρή κοινότητα.
  • Μια πολύπλοκη διαδικασία εγκατάστασης, συμπεριλαμβανομένης της κατασκευής ολόκληρου του SIEM από την πηγή.

Πηγή

Συμπέρασμα

Κάθε ένα από τα περιγραφόμενα συστήματα SIEM έχει τα δικά του χαρακτηριστικά και περιορισμούς, επομένως δεν μπορούν να ονομαστούν καθολική λύση για κανέναν οργανισμό. Ωστόσο, αυτές οι λύσεις είναι ανοιχτού κώδικα, επιτρέποντάς τους να αναπτυχθούν, να δοκιμαστούν και να αξιολογηθούν χωρίς υπερβολικό κόστος.

Τι άλλο μπορείτε να διαβάσετε στο blog; Cloud4Y

VNIITE ολόκληρου του πλανήτη: πώς εφευρέθηκε το σύστημα «έξυπνου σπιτιού» στην ΕΣΣΔ
Πώς οι νευρωνικές διεπαφές βοηθούν την ανθρωπότητα
Κυβερνοασφάλιση στη ρωσική αγορά
Φώτα, κάμερα... σύννεφο: πώς τα σύννεφα αλλάζουν την κινηματογραφική βιομηχανία
Ποδόσφαιρο στα σύννεφα - μόδα ή ανάγκη;

Εγγραφείτε στο Telegram-κανάλι, για να μην χάσετε το επόμενο άρθρο! Γράφουμε όχι περισσότερο από δύο φορές την εβδομάδα και μόνο για επαγγελματικούς λόγους.

Πηγή: www.habr.com