La ĝeneraligita adopto de nuba komputado helpas kompaniojn skali sian komercon. Sed la uzo de novaj platformoj ankaŭ signifas la aperon de novaj minacoj. Subteni vian propran teamon ene de organizo respondeca pri monitorado de la sekureco de nubaj servoj ne estas facila tasko. Ekzistantaj monitoraj iloj estas multekostaj kaj malrapidaj. Ili estas, iagrade, malfacile administreblaj kiam temas pri sekurigi grandskalan nuban infrastrukturon. Por konservi sian nuban sekurecon je alta nivelo, kompanioj bezonas potencajn, flekseblajn kaj intuiciajn ilojn, kiuj iras preter tio, kio antaŭe estis disponebla. Ĉi tie estas kie malfermkodaj teknologioj estas tre oportunaj, helpante ŝpari sekurecbuĝetojn kaj estante kreitaj de specialistoj kiuj scias multon pri sia komerco.
La artikolo, kies tradukon ni publikigas hodiaŭ, donas superrigardon de 7 malfermfontaj iloj por monitori la sekurecon de nubaj sistemoj. Ĉi tiuj iloj estas dezajnitaj por protekti kontraŭ piratoj kaj ciberkrimuloj detektante anomaliojn kaj nesekurajn agadojn.
1. Oskisto
estas sistemo por malaltnivela monitorado kaj analizo de operaciumoj, kiu permesas al sekurecaj profesiuloj fari kompleksajn datumminadon per SQL. La Osquery-kadro povas funkcii en Linukso, macOS, Vindozo kaj FreeBSD. Ĝi reprezentas la operaciumon (OS) kiel alt-efikecan interrilatan datumbazon. Ĉi tio permesas al specialistoj pri sekureco ekzameni la OS per SQL-demandoj. Ekzemple, uzante demandon, vi povas ekscii pri funkciado de procezoj, ŝarĝitaj kernaj moduloj, malfermaj retaj konektoj, instalitaj retumiloj, aparataj eventoj kaj dosieroj.
La Osquery-kadro estis kreita de Facebook. Ĝia kodo estis malfermfonta en 2014, post kiam la kompanio rimarkis, ke ne nur si mem bezonas ilojn por kontroli la malaltnivelajn mekanismojn de operaciumoj. Ekde tiam, Osquery estas uzata de specialistoj de kompanioj kiel Dactiv, Google, Kolide, Trail of Bits, Uptycs kaj multaj aliaj. Estis lastatempe ke la Linukso-Fondaĵo kaj Fejsbuko formos fondaĵon por subteni Osquery.
La gastiga demono de Osquery, nomata osqueryd, permesas al vi plani demandojn, kiuj kolektas datumojn de la infrastrukturo de via organizo. La demono kolektas serĉrezultojn kaj kreas protokolojn kiuj reflektas ŝanĝojn en la stato de la infrastrukturo. Ĉi tio povas helpi sekurecprofesiulojn resti flankaj pri la statuso de la sistemo kaj estas precipe utila por identigi anomaliojn. La protokolaj agregaj kapabloj de Osquery povas esti uzataj por helpi vin trovi konatajn kaj nekonatajn malware, kaj identigi kie atakantoj eniris vian sistemon kaj trovi kiajn programojn ili instalis. Legu pli pri anomalio-detekto uzante Osquery.
2.GoAudit
sistemo konsistas el du ĉefaj komponantoj. La unua estas iu kernnivela kodo dizajnita por kapti kaj monitori sistemajn vokojn. La dua komponanto estas uzantspaca demono nomita . Ĝi respondecas pri skribi reviziajn rezultojn al disko. , sistemo kreita de la firmao kaj liberigita en 2016, intencita por anstataŭigi auditd. Ĝi plibonigis registradajn kapablojn konvertante plurliniajn eventomesaĝojn generitajn de la Linukso-kontrola sistemo en ununurajn JSON-blobojn por pli facila analizo. Kun GoAudit, vi povas rekte aliri kern-nivelajn mekanismojn tra la reto. Krome, vi povas ebligi minimuman eventan filtradon sur la gastiganto mem (aŭ tute malŝalti filtradon). Samtempe, GoAudit estas projekto desegnita ne nur por certigi sekurecon. Ĉi tiu ilo estas desegnita kiel trajto-riĉa ilo por sistemsubteno aŭ evoluigaj profesiuloj. Ĝi helpas batali problemojn en grandskalaj infrastrukturoj.
La GoAudit-sistemo estas skribita en Golang. Ĝi estas tipo-sekura kaj alt-efikeca lingvo. Antaŭ ol instali GoAudit, kontrolu, ke via versio de Golang estas pli alta ol 1.7.
3. Grapl
La projekto (Graph Analytics Platform) estis translokigita al la malfermkoda kategorio en marto de la pasinta jaro. Ĝi estas relative nova platformo por detekti sekurecproblemojn, farado de komputila jurmedicino kaj generado de okazaĵraportoj. Atakantoj ofte laboras uzante ion kiel grafika modelo, akirante kontrolon de ununura sistemo kaj esplorante aliajn retajn sistemojn komencante de tiu sistemo. Tial estas tute nature, ke sistemdefendantoj ankaŭ uzos mekanismon bazitan sur modelo de grafeo de konektoj de retaj sistemoj, konsiderante la proprecojn de rilatoj inter sistemoj. Grapl montras provon efektivigi okazaĵdetekton kaj respondiniciatojn bazitajn sur grafeomodelo prefere ol tagalomodelo.
La Grapl-ilo prenas sekurec-rilatajn protokolojn (Sysmon-protokolojn aŭ protokolojn en regula JSON-formato) kaj konvertas ilin en subgrafetojn (difinante "identecon" por ĉiu nodo). Post tio, ĝi kombinas la subgrafeojn en komunan grafeon (Majstra Grafiko), kiu reprezentas la agojn faritajn en la analizitaj medioj. Grapl tiam prizorgas Analizilojn sur la rezulta grafeo uzante "atakantajn subskribojn" por identigi anomaliojn kaj suspektindajn ŝablonojn. Kiam la analizilo identigas suspektindan subgrafeon, Grapl generas Engagement-konstruaĵon celitan por enketo. Engaĝiĝo estas Python-klaso, kiu povas esti ŝarĝita, ekzemple, en Jupyter Notebook deplojita en la AWS-medio. Grapl, krome, povas pliigi la skalon de informkolekto por okazaĵenketo per grafika ekspansio.
Se vi volas pli bone kompreni Grapl, vi povas rigardi interesa video - registrado de prezento de BSides Las Vegas 2019.
4. OSSEC
estas projekto fondita en 2004. Ĉi tiu projekto, ĝenerale, povas esti karakterizita kiel malfermfonta sekurecmonitoradplatformo dizajnita por gastiga analizo kaj entruddetekto. OSSEC estas elŝutita pli ol 500000 fojojn jare. Ĉi tiu platformo estas uzata ĉefe kiel rimedo por detekti entrudiĝojn en serviloj. Plie, ni parolas pri kaj lokaj kaj nubaj sistemoj. OSSEC ankaŭ estas ofte utiligita kiel ilo por ekzamenado de monitoraj kaj analizaj protokoloj de fajroŝirmiloj, entrudiĝaj detektsistemoj, retserviloj, kaj ankaŭ por studado de aŭtentikigprotokoloj.
OSSEC kombinas la kapablojn de Host-Based Intrusion Detection System (HIDS) kun Security Incident Management (SIM) kaj Security Information and Event Management (SIEM) sistemo. OSSEC ankaŭ povas monitori dosierintegrecon en reala tempo. Ĉi tio, ekzemple, monitoras la Vindozan registron kaj detektas rootkits. OSSEC kapablas informi koncernatojn pri detektitaj problemoj en reala tempo kaj helpas rapide respondi al detektitaj minacoj. Ĉi tiu platformo subtenas Microsoft Windows kaj plej modernajn Unikso-similajn sistemojn, inkluzive de Linukso, FreeBSD, OpenBSD kaj Solaris.
La OSSEC-platformo konsistas el centra kontrolunuo, administranto, uzita por ricevi kaj monitori informojn de agentoj (malgrandaj programoj instalitaj sur la sistemoj kiuj devas esti monitoritaj). La administranto estas instalita sur Linuksa sistemo, kiu konservas datumbazon uzatan por kontroli la integrecon de dosieroj. Ĝi ankaŭ konservas protokolojn kaj rekordojn de eventoj kaj sistemajn reviziajn rezultojn.
La OSSEC-projekto estas nuntempe subtenata de Atomicorp. La firmao kontrolas senpagan malfermfontan version, kaj, krome, ofertas komerca versio de la produkto. podkasto en kiu la projektestro de OSSEC parolas pri la plej nova versio de la sistemo - OSSEC 3.0. Ĝi ankaŭ parolas pri la historio de la projekto, kaj kiel ĝi diferencas de modernaj komercaj sistemoj uzataj en la kampo de komputila sekureco.
5. surikato
estas malfermkoda projekto koncentrita al solvi la ĉefajn problemojn de komputila sekureco. Aparte, ĝi inkluzivas entrudiĝan detektosistemon, entrudiĝpreventsistemon, kaj retan sekurecan monitoradilon.
Ĉi tiu produkto aperis en 2009. Lia laboro baziĝas sur reguloj. Tio estas, tiu, kiu uzas ĝin, havas la ŝancon priskribi iujn trajtojn de rettrafiko. Se la regulo estas ekigita, Suricata generas sciigon, blokante aŭ ĉesigante la suspektindan konekton, kiu, denove, dependas de la specifitaj reguloj. La projekto ankaŭ subtenas multfadenan operacion. Ĉi tio ebligas rapide prilabori grandan nombron da reguloj en retoj, kiuj portas grandajn volumojn de trafiko. Danke al plurfadena subteno, tute ordinara servilo kapablas sukcese analizi trafikon vojaĝantan kun rapideco de 10 Gbit/s. En ĉi tiu kazo, la administranto ne devas limigi la aron de reguloj uzataj por trafika analizo. Suricata ankaŭ subtenas hashing kaj dosiero retrovo.
Suricata povas esti agordita por funkcii sur regulaj serviloj aŭ sur virtualaj maŝinoj, kiel ekzemple AWS, uzante lastatempe enkondukitan funkcion en la produkto. .
La projekto subtenas Lua-skriptojn, kiuj povas esti uzataj por krei kompleksan kaj detalan logikon por analizi minacajn subskribojn.
La projekto Suricata estas administrita de la Open Information Security Foundation (OISF).
6. Zeek (frato)
Kiel Suricata, (ĉi tiu projekto antaŭe estis nomita Bro kaj estis renomita Zeek ĉe BroCon 2018) ankaŭ estas entrudiĝa detekta sistemo kaj retsekureca monitora ilo, kiu povas detekti anomaliojn kiel suspektinda aŭ danĝera agado. Zeek diferencas de tradicia IDS en tio, male al regul-bazitaj sistemoj kiuj detektas esceptojn, Zeek ankaŭ kaptas metadatenojn asociitajn kun kio okazas en la reto. Ĉi tio estas farita por pli bone kompreni la kuntekston de nekutima retokonduto. Ĉi tio ebligas, ekzemple, analizante HTTP-vokon aŭ la proceduron por interŝanĝi sekurecajn atestojn, rigardi la protokolon, la pakaĵkapojn, la domajnajn nomojn.
Se ni konsideras Zeek kiel retsekurecan ilon, tiam ni povas diri, ke ĝi donas al specialisto la ŝancon esplori okazaĵon lernante pri kio okazis antaŭ aŭ dum la okazaĵo. Zeek ankaŭ konvertas retajn trafikajn datumojn en altnivelajn eventojn kaj disponigas la kapablon labori kun skriptointerpretilo. La interpretisto subtenas programlingvon, kiu estas uzata por interagi kun eventoj kaj por ekscii, kion ĝuste tiuj eventoj signifas laŭ reto-sekureco. La Zeek programlingvo povas esti uzita por personecigi la interpreton de metadatenoj por konveni la bezonojn de specifa organizo. Ĝi ebligas al vi konstrui kompleksajn logikajn kondiĉojn uzante la operatorojn AND, OR kaj NOT. Ĉi tio donas al uzantoj la kapablon agordi kiel iliaj medioj estas analizitaj. Tamen, oni devas rimarki, ke, kompare kun Suricata, Zeek povas ŝajni sufiĉe kompleksa ilo dum sekureca minaco-sciigo.
Se vi interesiĝas pri pli da detaloj pri Zeek, bonvolu kontakti filmeto.
7. Pantero
estas potenca, denaske nubo-denaska platformo por kontinua sekureca monitorado. Ĝi lastatempe estis translokigita al la malfermkoda kategorio. La ĉefarkitekto estas ĉe la originoj de la projekto — solvoj por aŭtomatigita protokolo-analizo, kies kodo estis malfermita de Airbnb. Panther donas al la uzanto ununuran sistemon por centre detekti minacojn en ĉiuj medioj kaj organizi respondon al ili. Ĉi tiu sistemo kapablas kreski kune kun la grandeco de la infrastrukturo servata. Minaco-detekto baziĝas sur travideblaj, determinismaj reguloj por redukti falsajn pozitivojn kaj nenecesan laborŝarĝon por sekurecprofesiuloj.
Inter la ĉefaj trajtoj de Panther estas la sekvaj:
- Detekto de neaŭtorizita aliro al resursoj per analizado de protokoloj.
- Minaco-detekto, efektivigita serĉante protokolojn por indikiloj indikante sekurecproblemojn. La serĉo estas farita uzante la normigitajn datumkampojn de Panter.
- Kontrolante la sistemon por konformeco al SOC/PCI/HIPAA-normoj uzante Pantermekanismoj.
- Protektu viajn nubajn rimedojn aŭtomate korektante agordajn erarojn, kiuj povus kaŭzi gravajn problemojn se ekspluatitaj de atakantoj.
Panther estas deplojita sur la AWS-nubo de organizo uzante AWS CloudFormation. Ĉi tio permesas al la uzanto ĉiam kontroli siajn datumojn.
Rezultoj
Monitora sistemo-sekureco estas kritika tasko nuntempe. Solvante ĉi tiun problemon, kompanioj de ajna grandeco povas esti helpitaj per malfermkodaj iloj, kiuj provizas multajn ŝancojn kaj kostas preskaŭ nenion aŭ estas senpagaj.
Karaj legantoj! Kiajn sekurecajn monitorajn ilojn vi uzas?
fonto: www.habr.com