Η ευρεία υιοθέτηση του cloud computing βοηθά τις εταιρείες να κλιμακώσουν τις δραστηριότητές τους. Αλλά η χρήση νέων πλατφορμών σημαίνει επίσης την εμφάνιση νέων απειλών. Η διατήρηση της δικής σας ομάδας σε έναν οργανισμό που είναι υπεύθυνος για την παρακολούθηση της ασφάλειας των υπηρεσιών cloud δεν είναι εύκολη υπόθεση. Τα υπάρχοντα εργαλεία παρακολούθησης είναι ακριβά και αργά. Είναι, σε κάποιο βαθμό, δύσκολο να διαχειριστούν όταν πρόκειται για την διασφάλιση μεγάλης κλίμακας υποδομής cloud. Για να διατηρήσουν την ασφάλειά τους στο cloud σε υψηλό επίπεδο, οι εταιρείες χρειάζονται ισχυρά, ευέλικτα και διαισθητικά εργαλεία που υπερβαίνουν τα προηγούμενα διαθέσιμα. Εδώ είναι πολύ χρήσιμες οι τεχνολογίες ανοιχτού κώδικα, βοηθώντας στην εξοικονόμηση προϋπολογισμών ασφαλείας και δημιουργούνται από ειδικούς που γνωρίζουν πολλά για την επιχείρησή τους.
Το άρθρο, τη μετάφραση του οποίου δημοσιεύουμε σήμερα, παρέχει μια επισκόπηση 7 εργαλείων ανοιχτού κώδικα για την παρακολούθηση της ασφάλειας των συστημάτων cloud. Αυτά τα εργαλεία έχουν σχεδιαστεί για να προστατεύουν από χάκερ και εγκληματίες στον κυβερνοχώρο εντοπίζοντας ανωμαλίες και μη ασφαλείς δραστηριότητες.
1. Σκωτία
— είναι ένα σύστημα για παρακολούθηση και ανάλυση χαμηλού επιπέδου λειτουργικών συστημάτων που επιτρέπει στους επαγγελματίες ασφαλείας να διεξάγουν σύνθετη ανάλυση δεδομένων χρησιμοποιώντας SQL. Το πλαίσιο Osquery μπορεί να εκτελεστεί σε Linux, macOS, Windows και FreeBSD. Παρουσιάζει το λειτουργικό σύστημα (ΛΣ) ως μια σχεσιακή βάση δεδομένων υψηλής απόδοσης. Αυτό επιτρέπει στους ερευνητές ασφαλείας να διερευνήσουν το ΛΣ εκτελώντας ερωτήματα SQL. Για παράδειγμα, ένα ερώτημα μπορεί να αποκαλύψει πληροφορίες σχετικά με διεργασίες που εκτελούνται, φορτωμένες μονάδες πυρήνα, ανοιχτές συνδέσεις δικτύου, εγκατεστημένες επεκτάσεις προγράμματος περιήγησης, συμβάντα υλικού και κατακερματισμούς αρχείων.
Το πλαίσιο Osquery δημιουργήθηκε από το Facebook. Ο κώδικάς του ήταν ανοιχτού κώδικα το 2014, αφού η εταιρεία συνειδητοποίησε ότι δεν ήταν μόνο η ίδια που χρειαζόταν εργαλεία για την παρακολούθηση των μηχανισμών χαμηλού επιπέδου των λειτουργικών συστημάτων. Από τότε, το Osquery χρησιμοποιείται από ειδικούς από εταιρείες όπως η Dactiv, η Google, η Kolide, η Trail of Bits, η Uptycs και πολλές άλλες. Ήταν πρόσφατα ότι Linux Το Ίδρυμα και το Facebook σχεδιάζουν να σχηματίσουν ένα ταμείο υποστήριξης για το Osquery.
Ο δαίμονας παρακολούθησης κεντρικού υπολογιστή του Osquery, που ονομάζεται osqueryd, σας επιτρέπει να προγραμματίζετε ερωτήματα που συλλέγουν δεδομένα από όλη την υποδομή του οργανισμού σας. Ο δαίμονας συλλέγει αποτελέσματα ερωτημάτων και δημιουργεί αρχεία καταγραφής που αντικατοπτρίζουν αλλαγές στην κατάσταση της υποδομής. Αυτό μπορεί να βοηθήσει τους επαγγελματίες ασφαλείας να παραμείνουν ενήμεροι για την κατάσταση του συστήματος και είναι ιδιαίτερα χρήσιμο για τον εντοπισμό ανωμαλιών. Οι δυνατότητες συνάθροισης αρχείων καταγραφής του Osquery μπορούν να χρησιμοποιηθούν για να σας βοηθήσουν να βρείτε γνωστά και άγνωστα κακόβουλα προγράμματα, καθώς και να προσδιορίσετε πού εισήλθαν στο σύστημά σας οι εισβολείς και να βρείτε ποια προγράμματα έχουν εγκαταστήσει. Διαβάστε περισσότερα σχετικά με τον εντοπισμό ανωμαλιών χρησιμοποιώντας το Osquery.
2.GoAudit
Σύστημα αποτελείται από δύο βασικά στοιχεία. Ο πρώτος είναι κάποιος κώδικας σε επίπεδο πυρήνα που έχει σχεδιαστεί για να παρακολουθεί και να παρακολουθεί κλήσεις συστήματος. Το δεύτερο στοιχείο είναι ένας δαίμονας χώρου χρήστη που ονομάζεται . Είναι υπεύθυνο για την εγγραφή των αποτελεσμάτων ελέγχου στο δίσκο. , ένα σύστημα που δημιουργήθηκε από την εταιρεία Κυκλοφόρησε το 2016 και έχει σχεδιαστεί για να αντικαταστήσει το auditedd. Έχει βελτιώσει τις δυνατότητες καταγραφής μετατρέποντας μηνύματα συμβάντων πολλαπλών γραμμών που δημιουργούνται από το σύστημα ελέγχου. Linux, σε μεμονωμένα JSON BLOBs, απλοποιώντας την ανάλυση. Το GoAudit επιτρέπει άμεση πρόσβαση σε μηχανισμούς σε επίπεδο πυρήνα μέσω του δικτύου. Είναι επίσης δυνατό να ενεργοποιήσετε το ελάχιστο φιλτράρισμα συμβάντων στον ίδιο τον κεντρικό υπολογιστή (ή να απενεργοποιήσετε εντελώς το φιλτράρισμα). Το GoAudit δεν είναι απλώς ένα έργο ασφαλείας. Έχει σχεδιαστεί ως ένα πολυλειτουργικό εργαλείο για επαγγελματίες υποστήριξης ή ανάπτυξης συστημάτων. Βοηθά στην αντιμετώπιση προβλημάτων σε υποδομές μεγάλης κλίμακας.
Το σύστημα GoAudit είναι γραμμένο σε Golang. Είναι μια γλώσσα ασφαλής για τον τύπο και υψηλής απόδοσης. Πριν εγκαταστήσετε το GoAudit, ελέγξτε ότι η έκδοση του Golang είναι υψηλότερη από 1.7.
3. Grapl
Σχέδιο (Graph Analytics Platform) μεταφέρθηκε στην κατηγορία ανοιχτού κώδικα τον Μάρτιο του περασμένου έτους. Είναι μια σχετικά νέα πλατφόρμα για τον εντοπισμό ζητημάτων ασφάλειας, τη διεξαγωγή εγκληματολογικών υπολογιστών και τη δημιουργία αναφορών συμβάντων. Οι εισβολείς συχνά εργάζονται χρησιμοποιώντας κάτι σαν μοντέλο γραφήματος, αποκτώντας τον έλεγχο ενός μόνο συστήματος και εξερευνώντας άλλα συστήματα δικτύου ξεκινώντας από αυτό το σύστημα. Επομένως, είναι πολύ φυσικό οι υπερασπιστές συστημάτων να χρησιμοποιούν επίσης έναν μηχανισμό που βασίζεται σε ένα μοντέλο γραφήματος συνδέσεων συστημάτων δικτύου, λαμβάνοντας υπόψη τις ιδιαιτερότητες των σχέσεων μεταξύ συστημάτων. Το Grapl επιδεικνύει μια προσπάθεια εφαρμογής μέτρων ανίχνευσης και απόκρισης περιστατικών με βάση ένα μοντέλο γραφήματος και όχι σε μοντέλο καταγραφής.
Το εργαλείο Grapl λαμβάνει αρχεία καταγραφής που σχετίζονται με την ασφάλεια (καταγραφή Sysmon ή αρχεία καταγραφής σε κανονική μορφή JSON) και τα μετατρέπει σε υπογραφήματα (καθορίζοντας μια «ταυτότητα» για κάθε κόμβο). Μετά από αυτό, συνδυάζει τα υπογραφήματα σε ένα κοινό γράφημα (Master Graph), το οποίο αντιπροσωπεύει τις ενέργειες που εκτελούνται στα αναλυόμενα περιβάλλοντα. Στη συνέχεια, το Grapl εκτελεί τους Αναλυτές στο γράφημα που προκύπτει χρησιμοποιώντας "υπογραφές εισβολέα" για να εντοπίσει ανωμαλίες και ύποπτα μοτίβα. Όταν ο αναλυτής εντοπίσει ένα ύποπτο υπογράφημα, το Grapl δημιουργεί μια κατασκευή Engagement που προορίζεται για διερεύνηση. Το Engagement είναι μια κλάση Python που μπορεί να φορτωθεί, για παράδειγμα, σε ένα Σημειωματάριο Jupyter που αναπτύσσεται στο περιβάλλον AWS. Το Grapl, επιπλέον, μπορεί να αυξήσει την κλίμακα συλλογής πληροφοριών για διερεύνηση περιστατικών μέσω της επέκτασης γραφήματος.
Αν θέλετε να κατανοήσετε καλύτερα το Grapl, μπορείτε να ρίξετε μια ματιά ενδιαφέρον βίντεο - ηχογράφηση παράστασης από το BSides Las Vegas 2019.
4. OSSEC
είναι ένα έργο που ιδρύθηκε το 2004. Αυτό το έργο, γενικά, μπορεί να χαρακτηριστεί ως μια πλατφόρμα παρακολούθησης ασφάλειας ανοιχτού κώδικα σχεδιασμένη για ανάλυση κεντρικού υπολογιστή και ανίχνευση εισβολής. Το OSSEC κατεβάζεται περισσότερες από 500000 φορές το χρόνο. Αυτή η πλατφόρμα χρησιμοποιείται κυρίως ως μέσο ανίχνευσης εισβολών σε διακομιστές. Επιπλέον, μιλάμε τόσο για τοπικά όσο και για cloud συστήματα. Το OSSEC χρησιμοποιείται επίσης συχνά ως εργαλείο για την εξέταση αρχείων καταγραφής παρακολούθησης και ανάλυσης τείχους προστασίας, συστημάτων ανίχνευσης εισβολών, διακομιστών ιστού, καθώς και για τη μελέτη αρχείων καταγραφής ελέγχου ταυτότητας.
Το OSSEC συνδυάζει τις δυνατότητες ενός συστήματος ανίχνευσης εισβολών που βασίζεται σε κεντρικό υπολογιστή (HIDS) με ένα σύστημα διαχείρισης συμβάντων ασφαλείας (SIM) και ένα σύστημα διαχείρισης πληροφοριών και συμβάντων ασφαλείας (SIEM). Το OSSEC διαθέτει επίσης παρακολούθηση ακεραιότητας αρχείων σε πραγματικό χρόνο, όπως παρακολούθηση μητρώου. Windows, ανίχνευση rootkit. Το OSSEC μπορεί να ειδοποιεί τα ενδιαφερόμενα μέρη για τυχόν εντοπισμένα προβλήματα σε πραγματικό χρόνο και βοηθά στην άμεση ανταπόκριση σε εντοπισμένες απειλές. Αυτή η πλατφόρμα υποστηρίζει τη Microsoft Windows και τα περισσότερα σύγχρονα συστήματα τύπου Unix, συμπεριλαμβανομένων Linux, FreeBSD, OpenBSD και Solaris.
Η πλατφόρμα OSSEC αποτελείται από μια κεντρική οντότητα ελέγχου, τον διαχειριστή, που χρησιμοποιείται για τη λήψη και την παρακολούθηση πληροφοριών από πράκτορες (μικρά προγράμματα που εγκαθίστανται στα συστήματα που πρόκειται να παρακολουθούνται). Ο διαχειριστής εγκαθίσταται σε Linux- ένα σύστημα που αποθηκεύει μια βάση δεδομένων που χρησιμοποιείται για την επαλήθευση της ακεραιότητας των αρχείων. Αποθηκεύει επίσης αρχεία καταγραφής και εγγραφές συμβάντων και αποτελεσμάτων ελέγχου συστήματος.
Το έργο OSSEC υποστηρίζεται επί του παρόντος από την Atomicorp. Η εταιρεία επιβλέπει μια δωρεάν έκδοση ανοιχτού κώδικα και, επιπλέον, προσφέρει εμπορική έκδοση του προϊόντος. podcast στο οποίο ο διαχειριστής έργου OSSEC μιλά για την πιο πρόσφατη έκδοση του συστήματος - OSSEC 3.0. Μιλάει επίσης για την ιστορία του έργου και για το πώς διαφέρει από τα σύγχρονα εμπορικά συστήματα που χρησιμοποιούνται στον τομέα της ασφάλειας υπολογιστών.
5. Meerkat
είναι ένα έργο ανοιχτού κώδικα που επικεντρώνεται στην επίλυση των κύριων προβλημάτων ασφάλειας των υπολογιστών. Συγκεκριμένα, περιλαμβάνει ένα σύστημα ανίχνευσης εισβολών, ένα σύστημα πρόληψης εισβολών και ένα εργαλείο παρακολούθησης της ασφάλειας δικτύου.
Αυτό το προϊόν εμφανίστηκε το 2009. Η δουλειά του βασίζεται σε κανόνες. Δηλαδή, αυτός που το χρησιμοποιεί έχει τη δυνατότητα να περιγράψει ορισμένα χαρακτηριστικά της κίνησης του δικτύου. Εάν ενεργοποιηθεί ο κανόνας, το Suricata δημιουργεί μια ειδοποίηση, αποκλείοντας ή τερματίζοντας την ύποπτη σύνδεση, η οποία, πάλι, εξαρτάται από τους καθορισμένους κανόνες. Το έργο υποστηρίζει επίσης λειτουργία πολλαπλών νημάτων. Αυτό καθιστά δυνατή τη γρήγορη επεξεργασία ενός μεγάλου αριθμού κανόνων σε δίκτυα που μεταφέρουν μεγάλους όγκους κίνησης. Χάρη στην υποστήριξη πολλαπλών νημάτων, ένας εντελώς συνηθισμένος διακομιστής είναι σε θέση να αναλύει επιτυχώς την κίνηση που ταξιδεύει με ταχύτητα 10 Gbit/s. Σε αυτήν την περίπτωση, ο διαχειριστής δεν χρειάζεται να περιορίσει το σύνολο κανόνων που χρησιμοποιούνται για την ανάλυση της κυκλοφορίας. Το Suricata υποστηρίζει επίσης κατακερματισμό και ανάκτηση αρχείων.
Το Suricata μπορεί να ρυθμιστεί ώστε να εκτελείται σε κανονικούς διακομιστές ή σε εικονικές μηχανές, όπως το AWS, χρησιμοποιώντας μια λειτουργία που εισήχθη πρόσφατα στο προϊόν .
Το έργο υποστηρίζει σενάρια Lua, τα οποία μπορούν να χρησιμοποιηθούν για τη δημιουργία πολύπλοκης και λεπτομερούς λογικής για την ανάλυση των υπογραφών απειλών.
Το έργο Suricata διαχειρίζεται το Open Information Security Foundation (OISF).
6. Zeek (Αδερφός)
Όπως η Σουρικάτα, (αυτό το έργο ονομαζόταν παλαιότερα Bro και μετονομάστηκε σε Zeek στο BroCon 2018) είναι επίσης ένα σύστημα ανίχνευσης εισβολών και ένα εργαλείο παρακολούθησης ασφάλειας δικτύου που μπορεί να ανιχνεύσει ανωμαλίες όπως ύποπτη ή επικίνδυνη δραστηριότητα. Το Zeek διαφέρει από τα παραδοσιακά IDS στο ότι, σε αντίθεση με τα συστήματα που βασίζονται σε κανόνες που εντοπίζουν εξαιρέσεις, το Zeek καταγράφει επίσης μεταδεδομένα που σχετίζονται με αυτό που συμβαίνει στο δίκτυο. Αυτό γίνεται για να κατανοήσουμε καλύτερα το πλαίσιο της ασυνήθιστης συμπεριφοράς του δικτύου. Αυτό επιτρέπει, για παράδειγμα, με την ανάλυση μιας κλήσης HTTP ή της διαδικασίας ανταλλαγής πιστοποιητικών ασφαλείας, να εξετάσει το πρωτόκολλο, τις κεφαλίδες των πακέτων, τα ονόματα τομέα.
Αν θεωρήσουμε το Zeek ως εργαλείο ασφάλειας δικτύου, τότε μπορούμε να πούμε ότι δίνει σε έναν ειδικό την ευκαιρία να διερευνήσει ένα περιστατικό μαθαίνοντας για το τι συνέβη πριν ή κατά τη διάρκεια του συμβάντος. Το Zeek μετατρέπει επίσης δεδομένα κίνησης δικτύου σε συμβάντα υψηλού επιπέδου και παρέχει τη δυνατότητα εργασίας με έναν διερμηνέα σεναρίων. Ο διερμηνέας υποστηρίζει μια γλώσσα προγραμματισμού που χρησιμοποιείται για την αλληλεπίδραση με συμβάντα και για να καταλάβει τι ακριβώς σημαίνουν αυτά τα συμβάντα όσον αφορά την ασφάλεια του δικτύου. Η γλώσσα προγραμματισμού Zeek μπορεί να χρησιμοποιηθεί για την προσαρμογή του τρόπου ερμηνείας των μεταδεδομένων ώστε να ταιριάζει στις ανάγκες ενός συγκεκριμένου οργανισμού. Σας επιτρέπει να δημιουργήσετε σύνθετες λογικές συνθήκες χρησιμοποιώντας τους τελεστές AND, OR και NOT. Αυτό δίνει στους χρήστες τη δυνατότητα να προσαρμόσουν τον τρόπο ανάλυσης του περιβάλλοντος τους. Ωστόσο, πρέπει να σημειωθεί ότι, σε σύγκριση με το Suricata, το Zeek μπορεί να φαίνεται σαν ένα αρκετά περίπλοκο εργαλείο κατά τη διεξαγωγή αναγνώρισης απειλών ασφαλείας.
Εάν ενδιαφέρεστε για περισσότερες λεπτομέρειες σχετικά με το Zeek, επικοινωνήστε βίντεο.
7. Πάνθηρας
είναι μια ισχυρή, εγγενής πλατφόρμα cloud για συνεχή παρακολούθηση της ασφάλειας. Πρόσφατα μεταφέρθηκε στην κατηγορία ανοιχτού κώδικα. Ο κύριος αρχιτέκτονας βρίσκεται στην αρχή του έργου — λύσεις για αυτοματοποιημένη ανάλυση αρχείων καταγραφής, ο κωδικός των οποίων άνοιξε η Airbnb. Το Panther δίνει στον χρήστη ένα ενιαίο σύστημα για τον κεντρικό εντοπισμό απειλών σε όλα τα περιβάλλοντα και την οργάνωση μιας απόκρισης σε αυτές. Αυτό το σύστημα μπορεί να αυξάνεται παράλληλα με το μέγεθος της υποδομής που εξυπηρετείται. Η ανίχνευση απειλών βασίζεται σε διαφανείς, ντετερμινιστικούς κανόνες για τη μείωση των ψευδών θετικών στοιχείων και του περιττού φόρτου εργασίας για τους επαγγελματίες ασφαλείας.
Ανάμεσα στα κύρια χαρακτηριστικά του Panther είναι τα ακόλουθα:
- Ανίχνευση μη εξουσιοδοτημένης πρόσβασης σε πόρους με ανάλυση αρχείων καταγραφής.
- Ανίχνευση απειλών, που υλοποιείται μέσω αναζήτησης αρχείων καταγραφής για δείκτες που υποδεικνύουν προβλήματα ασφάλειας. Η αναζήτηση πραγματοποιείται χρησιμοποιώντας τα τυποποιημένα πεδία δεδομένων του Panter.
- Έλεγχος του συστήματος για συμμόρφωση με τα πρότυπα SOC/PCI/HIPAA χρησιμοποιώντας Μηχανισμοί πάνθηρα.
- Προστατέψτε τους πόρους σας στο cloud διορθώνοντας αυτόματα σφάλματα διαμόρφωσης που θα μπορούσαν να προκαλέσουν σοβαρά προβλήματα σε περίπτωση εκμετάλλευσης από εισβολείς.
Το Panther αναπτύσσεται στο σύννεφο AWS ενός οργανισμού χρησιμοποιώντας το AWS CloudFormation. Αυτό επιτρέπει στον χρήστη να έχει πάντα τον έλεγχο των δεδομένων του.
Αποτελέσματα της
Η παρακολούθηση της ασφάλειας του συστήματος είναι μια κρίσιμη εργασία στις μέρες μας. Στην επίλυση αυτού του προβλήματος, οι εταιρείες οποιουδήποτε μεγέθους μπορούν να βοηθηθούν από εργαλεία ανοιχτού κώδικα που παρέχουν πολλές ευκαιρίες και δεν κοστίζουν σχεδόν τίποτα ή είναι δωρεάν.
Αγαπητοί αναγνώστες! Ποια εργαλεία παρακολούθησης ασφαλείας χρησιμοποιείτε;
Πηγή: www.habr.com
