La adopción generalizada de la computación en la nube ayuda a las empresas a escalar sus negocios. Pero el uso de nuevas plataformas también significa la aparición de nuevas amenazas. Mantener un equipo propio dentro de una organización responsable de monitorear la seguridad de los servicios en la nube no es una tarea fácil. Las herramientas de seguimiento existentes son caras y lentas. Hasta cierto punto, son difíciles de gestionar cuando se trata de proteger una infraestructura de nube a gran escala. Para mantener la seguridad de la nube en un alto nivel, las empresas necesitan herramientas potentes, flexibles e intuitivas que vayan más allá de lo que estaba disponible anteriormente. Aquí es donde las tecnologías de código abierto resultan muy útiles, ya que ayudan a ahorrar presupuestos de seguridad y son creadas por especialistas que saben mucho sobre su negocio.
El artículo, cuya traducción publicamos hoy, proporciona una descripción general de 7 herramientas de código abierto para monitorear la seguridad de los sistemas en la nube. Estas herramientas están diseñadas para proteger contra piratas informáticos y ciberdelincuentes mediante la detección de anomalías y actividades inseguras.
1. Osquería
es un sistema para monitoreo y análisis de bajo nivel de sistemas operativos que permite a los profesionales de seguridad realizar minería de datos compleja utilizando SQL. El marco Osquery puede ejecutarse en Linux, macOS, Windows y FreeBSD. Representa el sistema operativo (SO) como una base de datos relacional de alto rendimiento. Esto permite a los especialistas en seguridad examinar el sistema operativo ejecutando consultas SQL. Por ejemplo, mediante una consulta, puede obtener información sobre los procesos en ejecución, los módulos del kernel cargados, las conexiones de red abiertas, las extensiones de navegador instaladas, los eventos de hardware y los hashes de archivos.
El marco Osquery fue creado por Facebook. Su código fue de código abierto en 2014, después de que la empresa se diera cuenta de que no era sólo ella misma la que necesitaba herramientas para monitorear los mecanismos de bajo nivel de los sistemas operativos. Desde entonces, Osquery ha sido utilizado por especialistas de empresas como Dactiv, Google, Kolide, Trail of Bits, Uptycs y muchas otras. fue recientemente que la Fundación Linux y Facebook van a formar un fondo para apoyar a Osquery.
El demonio de monitoreo de host de Osquery, llamado osqueryd, le permite programar consultas que recopilan datos de toda la infraestructura de su organización. El demonio recopila resultados de consultas y crea registros que reflejan cambios en el estado de la infraestructura. Esto puede ayudar a los profesionales de seguridad a mantenerse al tanto del estado del sistema y es especialmente útil para identificar anomalías. Las capacidades de agregación de registros de Osquery se pueden utilizar para ayudarlo a encontrar malware conocido y desconocido, así como también identificar dónde ingresaron los atacantes a su sistema y encontrar qué programas han instalado. Lea más sobre la detección de anomalías mediante Osquery.
2.GoAuditar
Sistema consta de dos componentes principales. El primero es un código a nivel de kernel diseñado para interceptar y monitorear llamadas al sistema. El segundo componente es un demonio de espacio de usuario llamado . Es responsable de escribir los resultados de la auditoría en el disco. , un sistema creado por la empresa y lanzado en 2016, destinado a reemplazar auditd. Ha mejorado las capacidades de registro al convertir mensajes de eventos de varias líneas generados por el sistema de auditoría de Linux en blobs JSON únicos para facilitar el análisis. Con GoAudit, puede acceder directamente a mecanismos a nivel de kernel a través de la red. Además, puede habilitar el filtrado de eventos mínimo en el propio host (o desactivar completamente el filtrado). Al mismo tiempo, GoAudit es un proyecto diseñado no sólo para garantizar la seguridad. Esta herramienta está diseñada como una herramienta rica en funciones para profesionales de desarrollo o soporte de sistemas. Ayuda a combatir problemas en infraestructuras de gran escala.
El sistema GoAudit está escrito en Golang. Es un lenguaje de tipo seguro y de alto rendimiento. Antes de instalar GoAudit, verifique que su versión de Golang sea superior a 1.7.
3. Luchar
proyecto (Graph Analytics Platform) se transfirió a la categoría de código abierto en marzo del año pasado. Es una plataforma relativamente nueva para detectar problemas de seguridad, realizar análisis forenses informáticos y generar informes de incidentes. Los atacantes suelen trabajar utilizando algo así como un modelo gráfico, obteniendo el control de un único sistema y explorando otros sistemas de red a partir de ese sistema. Por lo tanto, es bastante natural que los defensores del sistema también utilicen un mecanismo basado en un modelo de gráfico de conexiones de sistemas de red, teniendo en cuenta las peculiaridades de las relaciones entre sistemas. Grapl demuestra un intento de implementar medidas de respuesta y detección de incidentes basadas en un modelo gráfico en lugar de un modelo de registro.
La herramienta Grapl toma registros relacionados con la seguridad (registros de Sysmon o registros en formato JSON normal) y los convierte en subgrafos (definiendo una "identidad" para cada nodo). Posteriormente, combina los subgrafos en un gráfico común (Master Graph), que representa las acciones realizadas en los entornos analizados. Luego, Grapl ejecuta analizadores en el gráfico resultante utilizando "firmas de atacantes" para identificar anomalías y patrones sospechosos. Cuando el analizador identifica un subgrafo sospechoso, Grapl genera una construcción de compromiso destinada a la investigación. Engagement es una clase de Python que se puede cargar, por ejemplo, en un Jupyter Notebook implementado en el entorno de AWS. Grapl, además, puede aumentar la escala de recopilación de información para la investigación de incidentes mediante la expansión del gráfico.
Si quieres entender mejor Grapl, puedes echarle un vistazo. Interesante vídeo: grabación de una actuación de BSides Las Vegas 2019.
4. OSSEC
es un proyecto fundado en 2004. Este proyecto, en general, se puede caracterizar como una plataforma de monitoreo de seguridad de código abierto diseñada para el análisis de host y la detección de intrusiones. OSSEC se descarga más de 500000 veces al año. Esta plataforma se utiliza principalmente como medio de detección de intrusiones en los servidores. Además, estamos hablando de sistemas tanto locales como en la nube. OSSEC también se utiliza a menudo como herramienta para examinar registros de monitoreo y análisis de firewalls, sistemas de detección de intrusos, servidores web y también para estudiar registros de autenticación.
OSSEC combina las capacidades de un sistema de detección de intrusiones basado en host (HIDS) con un sistema de gestión de incidentes de seguridad (SIM) y de gestión de eventos e información de seguridad (SIEM). OSSEC también puede monitorear la integridad de los archivos en tiempo real. Este, por ejemplo, supervisa el registro de Windows y detecta rootkits. OSSEC puede notificar a las partes interesadas sobre los problemas detectados en tiempo real y ayuda a responder rápidamente a las amenazas detectadas. Esta plataforma es compatible con Microsoft Windows y la mayoría de los sistemas modernos tipo Unix, incluidos Linux, FreeBSD, OpenBSD y Solaris.
La plataforma OSSEC consta de una entidad de control central, un gestor, que se utiliza para recibir y monitorear información de los agentes (pequeños programas instalados en los sistemas que necesitan ser monitoreados). El administrador está instalado en un sistema Linux, que almacena una base de datos que se utiliza para verificar la integridad de los archivos. También almacena registros y registros de eventos y resultados de auditorías del sistema.
El proyecto OSSEC cuenta actualmente con el apoyo de Atomicorp. La empresa supervisa una versión gratuita de código abierto y, además, ofrece versión comercial del producto. podcast en el que el director del proyecto OSSEC habla sobre la última versión del sistema: OSSEC 3.0. También habla sobre la historia del proyecto y en qué se diferencia de los sistemas comerciales modernos utilizados en el campo de la seguridad informática.
5. Suricata
es un proyecto de código abierto enfocado a solucionar los principales problemas de seguridad informática. En particular, incluye un sistema de detección de intrusiones, un sistema de prevención de intrusiones y una herramienta de monitoreo de seguridad de la red.
Este producto apareció en 2009. Su trabajo se basa en reglas. Es decir, quien lo utiliza tiene la oportunidad de describir determinadas características del tráfico de la red. Si se activa la regla, Suricata genera una notificación, bloqueando o finalizando la conexión sospechosa, lo que, nuevamente, depende de las reglas especificadas. El proyecto también admite operaciones multiproceso. Esto permite procesar rápidamente una gran cantidad de reglas en redes que transportan grandes volúmenes de tráfico. Gracias al soporte de subprocesos múltiples, un servidor completamente normal puede analizar con éxito el tráfico que viaja a una velocidad de 10 Gbit/s. En este caso, el administrador no tiene que limitar el conjunto de reglas utilizadas para el análisis del tráfico. Suricata también admite hash y recuperación de archivos.
Suricata se puede configurar para ejecutarse en servidores normales o en máquinas virtuales, como AWS, utilizando una característica introducida recientemente en el producto. .
El proyecto admite scripts Lua, que se pueden utilizar para crear una lógica compleja y detallada para analizar firmas de amenazas.
El proyecto Suricata está gestionado por la Open Information Security Foundation (OISF).
6. Zeek (hermano)
Como Suricata, (este proyecto anteriormente se llamaba Bro y pasó a llamarse Zeek en BroCon 2018) también es un sistema de detección de intrusiones y una herramienta de monitoreo de seguridad de red que puede detectar anomalías como actividades sospechosas o peligrosas. Zeek se diferencia del IDS tradicional en que, a diferencia de los sistemas basados en reglas que detectan excepciones, Zeek también captura metadatos asociados con lo que sucede en la red. Esto se hace para comprender mejor el contexto del comportamiento inusual de la red. Esto permite, por ejemplo, analizar una llamada HTTP o el procedimiento de intercambio de certificados de seguridad, observar el protocolo, las cabeceras de los paquetes, los nombres de dominio.
Si consideramos a Zeek como una herramienta de seguridad de red, entonces podemos decir que le brinda a un especialista la oportunidad de investigar un incidente al conocer lo que sucedió antes o durante el incidente. Zeek también convierte datos de tráfico de red en eventos de alto nivel y brinda la capacidad de trabajar con un intérprete de scripts. El intérprete admite un lenguaje de programación que se utiliza para interactuar con eventos y descubrir qué significan exactamente esos eventos en términos de seguridad de la red. El lenguaje de programación Zeek se puede utilizar para personalizar cómo se interpretan los metadatos para satisfacer las necesidades de una organización específica. Le permite crear condiciones lógicas complejas utilizando los operadores AND, OR y NOT. Esto brinda a los usuarios la capacidad de personalizar cómo se analizan sus entornos. Sin embargo, cabe señalar que, en comparación con Suricata, Zeek puede parecer una herramienta bastante compleja a la hora de realizar un reconocimiento de amenazas a la seguridad.
Si está interesado en obtener más detalles sobre Zeek, comuníquese con de vídeo.
7. Pantera
es una potente plataforma nativa de la nube para el monitoreo continuo de la seguridad. Recientemente fue transferido a la categoría de código abierto. El arquitecto principal está en los orígenes del proyecto. — soluciones para el análisis automatizado de registros, cuyo código fue abierto por Airbnb. Panther ofrece al usuario un sistema único para detectar amenazas de forma centralizada en todos los entornos y organizar una respuesta ante ellas. Este sistema es capaz de crecer junto con el tamaño de la infraestructura atendida. La detección de amenazas se basa en reglas transparentes y deterministas para reducir los falsos positivos y la carga de trabajo innecesaria para los profesionales de la seguridad.
Entre las principales características de Panther se encuentran las siguientes:
- Detección de acceso no autorizado a recursos mediante el análisis de registros.
- Detección de amenazas, implementada mediante la búsqueda de registros de indicadores que indiquen problemas de seguridad. La búsqueda se realiza utilizando los campos de datos estandarizados de Panter.
- Verificar que el sistema cumpla con los estándares SOC/PCI/HIPAA utilizando Mecanismos de pantera.
- Proteja sus recursos en la nube corrigiendo automáticamente los errores de configuración que podrían causar problemas graves si los explotan los atacantes.
Panther se implementa en la nube de AWS de una organización mediante AWS CloudFormation. Esto permite al usuario tener siempre el control de sus datos.
resultados
Monitorear la seguridad del sistema es una tarea crítica en estos días. Para resolver este problema, las empresas de cualquier tamaño pueden beneficiarse de herramientas de código abierto que brindan muchas oportunidades y no cuestan casi nada o son gratuitas.
Estimados lectores! ¿Qué herramientas de monitoreo de seguridad utiliza?
Fuente: habr.com