Pilvandmetöötluse laialdane kasutuselevõtt aitab ettevõtetel oma äritegevust laiendada. Kuid uute platvormide kasutamine tähendab ka uute ohtude tekkimist. Pilveteenuste turvalisuse jälgimise eest vastutava organisatsiooni sees oma meeskonna ülalpidamine pole lihtne ülesanne. Olemasolevad seirevahendid on kallid ja aeglased. Suuremahulise pilveinfrastruktuuri turvamisel on neid teatud määral raske hallata. Pilveturbe kõrgel tasemel hoidmiseks vajavad ettevõtted võimsaid, paindlikke ja intuitiivseid tööriistu, mis lähevad kaugemale sellest, mis varem saadaval oli. Siin tulevadki väga kasuks avatud lähtekoodiga tehnoloogiad, mis aitavad säästa turvaeelarveid ja on loodud spetsialistide poolt, kes teavad oma ärist palju.
Artikkel, mille tõlke täna avaldame, annab ülevaate 7 avatud lähtekoodiga tööriistast pilvesüsteemide turvalisuse jälgimiseks. Need tööriistad on loodud kaitsma häkkerite ja küberkurjategijate eest, tuvastades kõrvalekaldeid ja ohtlikke tegevusi.
1. Osquery
on operatsioonisüsteemide madala taseme jälgimise ja analüüsi süsteem, mis võimaldab turvaprofessionaalidel SQL-i abil keerulist andmekaevet läbi viia. Osquery raamistik võib töötada Linuxis, macOS-is, Windowsis ja FreeBSD-s. See esindab operatsioonisüsteemi (OS) suure jõudlusega relatsiooniandmebaasina. See võimaldab turbespetsialistidel SQL-päringuid käivitades OS-i uurida. Näiteks saate päringu abil saada teavet töötavate protsesside, laaditud tuumamoodulite, avatud võrguühenduste, installitud brauserilaiendite, riistvarasündmuste ja failiräside kohta.
Osquery raamistiku lõi Facebook. Selle kood oli avatud lähtekoodiga 2014. aastal pärast seda, kui ettevõte mõistis, et operatsioonisüsteemide madala taseme mehhanismide jälgimiseks ei vaja tööriistu ainult tema ise. Sellest ajast peale on Osqueryt kasutanud spetsialistid sellistest ettevõtetest nagu Dactiv, Google, Kolide, Trail of Bits, Uptycs ja paljud teised. See oli hiljuti et Linux Foundation ja Facebook loovad Osquery toetamiseks fondi.
Osquery hosti jälgimise deemon nimega osqueryd võimaldab teil ajastada päringuid, mis koguvad andmeid kogu teie organisatsiooni infrastruktuurist. Deemon kogub päringutulemusi ja loob logid, mis kajastavad infrastruktuuri oleku muutusi. See võib aidata turvaspetsialistidel süsteemi olekuga kursis olla ja on eriti kasulik kõrvalekallete tuvastamisel. Osquery logide koondamise võimalusi saab kasutada teadaoleva ja tundmatu pahavara leidmisel, samuti tuvastada, kuhu ründajad on teie süsteemi sisenenud, ja leida, milliseid programme nad on installinud. Lugege lisateavet anomaaliate tuvastamise kohta Osquery abil.
2.GoAudit
Süsteem koosneb kahest põhikomponendist. Esimene neist on kerneli tasemel kood, mis on loodud süsteemikõnede pealtkuulamiseks ja jälgimiseks. Teine komponent on kasutajaruumi deemon nimega . See vastutab auditi tulemuste kettale kirjutamise eest. , ettevõtte loodud süsteem ja välja antud 2016. aastal, mis on mõeldud asendama auditi. See on täiustanud logimisvõimalusi, teisendades Linuxi auditeerimissüsteemi genereeritud mitmerealised sündmuste sõnumid lihtsamaks analüüsimiseks üksikuteks JSON-plokkideks. GoAuditi abil pääsete otse võrgu kaudu juurde kernelitaseme mehhanismidele. Lisaks saate hostis lubada minimaalse sündmuste filtreerimise (või filtreerimise täielikult keelata). Samal ajal on GoAudit projekt, mille eesmärk on mitte ainult tagada turvalisus. See tööriist on loodud funktsiooniderikka tööriistana süsteemitoe või arendusspetsialistidele. See aitab võidelda suuremahuliste infrastruktuuride probleemidega.
GoAuditi süsteem on kirjutatud golangi keeles. See on tüübikindel ja suure jõudlusega keel. Enne GoAuditi installimist kontrollige, kas teie Golangi versioon on kõrgem kui 1.7.
3. Grapl
Projekt (Graph Analytics Platform) viidi avatud lähtekoodiga kategooriasse üle eelmise aasta märtsis. See on suhteliselt uus platvorm turvaprobleemide tuvastamiseks, arvutiekspertiisi läbiviimiseks ja juhtumiaruannete koostamiseks. Ründajad töötavad sageli graafikumudeliga, omandades kontrolli ühe süsteemi üle ja uurides teisi võrgusüsteeme, alustades sellest süsteemist. Seetõttu on täiesti loomulik, et süsteemikaitsjad hakkavad kasutama ka võrgusüsteemide ühenduste graafiku mudelil põhinevat mehhanismi, võttes arvesse süsteemidevaheliste suhete iseärasusi. Grapl demonstreerib katset rakendada juhtumite tuvastamise ja reageerimise meetmeid, mis põhinevad pigem graafikumudelil kui logimudelil.
Grapli tööriist võtab turvalisusega seotud logid (Sysmoni logid või tavalises JSON-vormingus logid) ja teisendab need alamgraafikuteks (määrates iga sõlme "identiteedi"). Pärast seda ühendab see alamgraafikud ühiseks graafikuks (Master Graph), mis esindab analüüsitavates keskkondades tehtud toiminguid. Seejärel käivitab Grapl saadud graafikul analüsaatorid, kasutades "ründaja allkirju", et tuvastada kõrvalekaldeid ja kahtlasi mustreid. Kui analüsaator tuvastab kahtlase alamgraafi, genereerib Grapl uurimiseks mõeldud kaasamiskonstruktsiooni. Engagement on Pythoni klass, mida saab laadida näiteks AWS-i keskkonnas juurutatud Jupyteri sülearvutisse. Lisaks võib Grapl graafiku laiendamise kaudu suurendada intsidentide uurimise jaoks teabe kogumise ulatust.
Kui soovite Graplit paremini mõista, võite vaadata huvitav video - BSides Las Vegas 2019 etenduse salvestus.
4. OSSEC
on 2004. aastal asutatud projekt. Seda projekti võib üldiselt iseloomustada kui avatud lähtekoodiga turvaseireplatvormi, mis on loodud hosti analüüsiks ja sissetungimise tuvastamiseks. OSSECi laaditakse alla rohkem kui 500000 XNUMX korda aastas. Seda platvormi kasutatakse peamiselt serveritesse sissetungide tuvastamise vahendina. Pealegi räägime nii kohalikest kui ka pilvesüsteemidest. OSSEC-i kasutatakse sageli ka tulemüüride, sissetungimise tuvastamise süsteemide, veebiserverite seire- ja analüüsilogide uurimiseks ning ka autentimislogide uurimiseks.
OSSEC ühendab hostipõhise sissetungimise tuvastamise süsteemi (HIDS) võimalused turvaintsidentide halduse (SIM) ning turvateabe ja -sündmuste halduse (SIEM) süsteemiga. OSSEC saab ka failide terviklikkust reaalajas jälgida. See jälgib näiteks Windowsi registrit ja tuvastab juurkomplektid. OSSEC suudab sidusrühmi avastatud probleemidest reaalajas teavitada ja aitab avastatud ohtudele kiiresti reageerida. See platvorm toetab Microsoft Windowsi ja kõige kaasaegsemaid Unixi sarnaseid süsteeme, sealhulgas Linux, FreeBSD, OpenBSD ja Solaris.
OSSEC-i platvorm koosneb kesksest juhtimisüksusest, haldurist, mida kasutatakse agentidelt teabe vastuvõtmiseks ja jälgimiseks (süsteemidesse installitud väikesed programmid, mida on vaja jälgida). Haldur on installitud Linuxi süsteemi, mis salvestab failide terviklikkuse kontrollimiseks kasutatava andmebaasi. Samuti salvestab see sündmuste ja süsteemi auditi tulemuste logid ja kirjed.
OSSEC projekti toetab praegu Atomicorp. Ettevõte jälgib tasuta avatud lähtekoodiga versiooni ja lisaks pakkumisi toote kaubanduslik versioon. podcast, milles OSSECi projektijuht räägib süsteemi uusimast versioonist – OSSEC 3.0. Samuti räägitakse projekti ajaloost ja sellest, kuidas see erineb tänapäevastest arvutiturbe valdkonnas kasutatavatest kommertssüsteemidest.
5. surikaat
on avatud lähtekoodiga projekt, mis keskendub arvutiturbe põhiprobleemide lahendamisele. Eelkõige sisaldab see sissetungimise tuvastamise süsteemi, sissetungimise vältimise süsteemi ja võrgu turvalisuse jälgimise tööriista.
See toode ilmus 2009. aastal. Tema töö põhineb reeglitel. See tähendab, et sellel, kes seda kasutab, on võimalus kirjeldada võrguliikluse teatud funktsioone. Kui reegel käivitatakse, genereerib Suricata teatise, blokeerides või katkestades kahtlase ühenduse, mis jällegi sõltub määratud reeglitest. Projekt toetab ka mitme keermega töötamist. See võimaldab kiiresti töödelda suurt hulka reegleid võrkudes, mis edastavad suurt liiklust. Tänu mitme lõime toele suudab täiesti tavaline server edukalt analüüsida kiirusega 10 Gbit/s liikuvat liiklust. Sellisel juhul ei pea administraator piirama liiklusanalüüsi jaoks kasutatavat reeglite kogumit. Suricata toetab ka räsimist ja failide otsimist.
Suricata saab konfigureerida töötama tavalistes serverites või virtuaalsetes masinates (nt AWS), kasutades tootes hiljuti kasutusele võetud funktsiooni .
Projekt toetab Lua skripte, mille abil saab luua keerulist ja üksikasjalikku loogikat ohusignatuuride analüüsimiseks.
Suricata projekti juhib Open Information Security Foundation (OISF).
6. Zeek (vend)
Nagu Suricata, (selle projekti nimi oli varem Bro ja BroCon 2018 nimetati ümber Zeekiks) on ka sissetungimise tuvastamise süsteem ja võrguturbe jälgimise tööriist, mis suudab tuvastada kõrvalekaldeid, nagu kahtlane või ohtlik tegevus. Zeek erineb traditsioonilisest IDS-ist selle poolest, et erinevalt reeglipõhistest süsteemidest, mis tuvastavad erandeid, jäädvustab Zeek ka võrgus toimuvaga seotud metaandmeid. Seda tehakse selleks, et paremini mõista ebatavalise võrgukäitumise konteksti. See võimaldab näiteks HTTP-kõnet või turvasertifikaatide vahetamise protseduuri analüüsides vaadata protokolli, paketipäiseid, domeeninimesid.
Kui pidada Zeeki võrguturbe tööriistaks, siis võib öelda, et see annab spetsialistile võimaluse intsidenti uurida, saades teada, mis juhtus enne või selle ajal. Zeek teisendab ka võrguliiklusandmed kõrgetasemelisteks sündmusteks ja annab võimaluse töötada skriptitõlgiga. Tõlk toetab programmeerimiskeelt, mida kasutatakse sündmustega suhtlemiseks ja selle väljaselgitamiseks, mida need sündmused võrguturbe seisukohalt täpselt tähendavad. Zeeki programmeerimiskeelt saab kasutada metaandmete tõlgendamise kohandamiseks vastavalt konkreetse organisatsiooni vajadustele. See võimaldab teil luua keerulisi loogilisi tingimusi, kasutades operaatoreid JA, VÕI ja EI. See annab kasutajatele võimaluse kohandada, kuidas nende keskkondi analüüsitakse. Siiski tuleb märkida, et võrreldes Suricataga võib Zeek tunduda julgeolekuohtude luure läbiviimisel üsna keeruka tööriistana.
Kui olete huvitatud Zeeki kohta täpsematest üksikasjadest, võtke ühendust video.
7. Panter
on võimas, algselt pilvepõhine platvorm pidevaks turvaseireks. See viidi hiljuti üle avatud lähtekoodiga kategooriasse. Peaarhitekt on projekti alguses — automaatse logianalüüsi lahendused, mille koodi avas Airbnb. Panther annab kasutajale ühtse süsteemi ohtude keskseks tuvastamiseks kõigis keskkondades ja neile reageerimise korraldamiseks. See süsteem on võimeline kasvama koos teenindatava infrastruktuuri suurusega. Ohtude tuvastamine põhineb läbipaistvatel, deterministlikel reeglitel, et vähendada valepositiivseid tulemusi ja turbespetsialistide tarbetut töökoormust.
Pantheri peamiste omaduste hulgas on järgmised:
- Ressursidele volitamata juurdepääsu tuvastamine logide analüüsimise teel.
- Ohtude tuvastamine, mida rakendatakse turvaprobleemidele viitavate indikaatorite logide otsimise teel. Otsing toimub Panteri standardiseeritud andmeväljade abil.
- Kontrollige süsteemi vastavust SOC/PCI/HIPAA standarditele kasutades Pantheri mehhanismid.
- Kaitske oma pilveressursse, parandades automaatselt konfiguratsioonivead, mis võivad põhjustada tõsiseid probleeme, kui ründajad neid ära kasutavad.
Panther on juurutatud organisatsiooni AWS-i pilves, kasutades AWS CloudFormationit. See võimaldab kasutajal oma andmeid alati kontrollida.
Tulemused
Süsteemi turvalisuse jälgimine on tänapäeval kriitiline ülesanne. Selle probleemi lahendamisel saavad igas suuruses ettevõtteid aidata avatud lähtekoodiga tööriistad, mis pakuvad palju võimalusi ja ei maksa peaaegu midagi või on tasuta.
Kallid lugejad! Milliseid turvaseire tööriistu te kasutate?
Allikas: www.habr.com