Hodeiko informatika oso hedatuak enpresei negozioa handitzen laguntzen die. Baina plataforma berriak erabiltzeak mehatxu berriak agertzea ere suposatzen du. Hodeiko zerbitzuen segurtasuna kontrolatzeko ardura duen erakunde baten barruan zure taldea mantentzea ez da lan erraza. Dauden monitorizazio tresnak garestiak eta motelak dira. Neurri batean, kudeatzeko zailak dira eskala handiko hodeiko azpiegiturak ziurtatzeko orduan. Hodeiko segurtasuna maila altuan mantentzeko, enpresek tresna indartsuak, malguak eta intuitiboak behar dituzte, lehen erabilgarri zegoenetik haratago doazenak. Hemen kode irekiko teknologiak oso erabilgarriak dira, segurtasun-aurrekontuak aurrezten laguntzen dute eta beren negozioari buruz asko dakiten espezialistek sortuta.
Artikuluak, gaur argitaratzen dugun itzulpena, hodeiko sistemen segurtasuna kontrolatzeko kode irekiko 7 tresnen ikuspegi orokorra eskaintzen du. Tresna hauek hackerren eta ziberkriminalen aurka babesteko diseinatuta daude, anomaliak eta jarduera arriskutsuak detektatuz.
1. Oskularitza
sistema eragileen behe-mailako monitorizazio eta analisirako sistema bat da, segurtasun profesionalei datu-meatzaritza konplexua egiteko SQL erabiliz. Osquery esparrua Linux, macOS, Windows eta FreeBSD-en exekutatu daiteke. Sistema eragilea (OS) errendimendu handiko datu-base erlazional gisa adierazten du. Horri esker, segurtasun espezialistek sistema eragilea azter dezakete SQL kontsultak exekutatuz. Adibidez, kontsulta bat erabiliz, exekutatzen diren prozesuak, kargatutako nukleoaren moduluak, sare-konexio irekiak, instalatutako arakatzailearen luzapenak, hardware-gertaerak eta fitxategi-hash-ak aurki ditzakezu.
Osquery esparrua Facebookek sortu zuen. Bere kodea kode irekia izan zen 2014an, konpainiak sistema eragileen behe-mailako mekanismoak kontrolatzeko tresnak behar zituena ez zela bakarrik konturatu ondoren. Orduz geroztik, Dactiv, Google, Kolide, Trail of Bits, Uptycs eta beste hainbat enpresetako espezialistek erabiltzen dute Osquery. Duela gutxi izan zen Linux Fundazioak eta Facebookek Osquery laguntzeko funts bat osatuko dutela.
Osquery-ren ostalariaren monitorizazio deabruak, osqueryd izenekoak, zure erakundearen azpiegiturako datuak biltzen dituzten kontsultak programatzeko aukera ematen du. Daemonak kontsulten emaitzak biltzen ditu eta azpiegituraren egoeraren aldaketak islatzen dituzten erregistroak sortzen ditu. Horrek segurtasun-profesionalek sistemaren egoeraren berri izaten lagundu dezakete eta bereziki erabilgarria da anomaliak identifikatzeko. Osquery-ren erregistro-agregazio-gaitasunak malware ezaguna eta ezezaguna aurkitzen laguntzeko erabil daiteke, baita erasotzaileak zure sisteman non sartu diren identifikatzen eta zein programa instalatu dituzten aurkitzeko ere. Irakurri gehiago Osquery erabiliz anomaliak hautemateari buruz.
2.GoAudit
Sistema bi osagai nagusi ditu. Lehenengoa sistema deiak atzemateko eta kontrolatzeko diseinatutako kernel mailako kode bat da. Bigarren osagaia deitzen den erabiltzaile-espazio-daemon bat da . Auditoretzaren emaitzak diskoan idazteaz arduratzen da. , enpresak sortutako sistema eta 2016an kaleratu zuten, auditoria ordezkatzeko asmoz. Erregistro-gaitasunak hobetu ditu Linux-en auditoretza-sistemak sortutako lerro anitzeko gertaeren mezuak JSON blob bakar batean bihurtuz, azterketa errazteko. GoAudit-ekin, nukleo-mailako mekanismoetara zuzenean sar zaitezke sarean. Horrez gain, gertaeren iragazketa minimoa gaitu dezakezu ostalarian bertan (edo iragazketa erabat desgaitu). Aldi berean, GoAudit segurtasuna bermatzeko ez ezik diseinatutako proiektua da. Tresna hau funtzionalitate aberatseko tresna gisa diseinatu da sistemen laguntza edo garapen profesionalentzat. Eskala handiko azpiegituren arazoei aurre egiten laguntzen du.
GoAudit sistema Golang-en idatzita dago. Mota segurua eta errendimendu handiko hizkuntza bat da. GoAudit instalatu aurretik, egiaztatu zure Golang-en bertsioa 1.7 baino handiagoa dela.
3. Grapl
Proiektu (Graph Analytics Platform) kode irekiko kategoriara pasatu zen iazko martxoan. Plataforma nahiko berria da segurtasun-arazoak detektatzeko, auzitegi informatikoa egiteko eta gertakarien txostenak sortzeko. Erasotzaileek maiz lan egiten dute grafiko-eredu bat bezalako zerbait erabiliz, sistema bakar baten kontrola lortuz eta sistema horretatik abiatuta beste sare-sistema batzuk arakatuz. Hori dela eta, nahiko naturala da sistemaren defendatzaileek sare sistemen konexioen grafiko baten ereduan oinarritutako mekanismo bat ere erabiltzea, sistemen arteko erlazioen berezitasunak kontuan hartuta. Grapl-ek gertakariak hautemateko eta erantzuteko neurriak ezartzeko saiakera erakusten du grafiko-eredu batean oinarrituta, erregistro-eredu batean baino.
Grapl tresnak segurtasunarekin lotutako erregistroak hartzen ditu (Sysmon erregistroak edo JSON formatuan ohiko erregistroak) eta azpigrafikoetan bihurtzen ditu (nodo bakoitzeko "identitatea" definituz). Horren ostean, azpigrafoak grafiko komun batean (Master Graph) konbinatzen ditu, aztertutako inguruneetan egindako ekintzak adierazten dituena. Ondoren, Grapl-ek analizatzaileak exekutatzen ditu ondoriozko grafikoan "erasotzaileen sinadurak" erabiliz anomaliak eta eredu susmagarriak identifikatzeko. Analizatzaileak azpigrafiko susmagarri bat identifikatzen duenean, Grapl-ek Engagement eraikuntza bat sortzen du ikertzeko pentsatua. Engagement Python klase bat da, adibidez, AWS ingurunean zabaldutako Jupyter Notebook batean kargatu daitekeena. Grapl-ek, gainera, gertakariak ikertzeko informazio bilketaren eskala handitu dezake grafikoen hedapenaren bidez.
Grapl hobeto ulertu nahi baduzu, begiratu bat eman dezakezu bideo interesgarria - BSides Las Vegas 2019ko emanaldi baten grabazioa.
4. OSSEC
2004an sortutako proiektua da. Proiektu hau, oro har, ostalariaren analisirako eta intrusioak detektatzeko diseinatutako kode irekiko segurtasun-monitorizazio plataforma gisa ezaugarritu daiteke. OSSEC urtean 500000 aldiz baino gehiago deskargatzen da. Plataforma hau zerbitzarietan sartzeak detektatzeko baliabide gisa erabiltzen da batez ere. Gainera, tokiko zein hodeiko sistemei buruz ari gara. OSSEC sarritan erabiltzen da suebakien, intrusioak detektatzeko sistemen, web zerbitzarien jarraipena eta analisiaren erregistroak aztertzeko eta baita autentifikazio erregistroak aztertzeko ere.
OSSECek Ostalarietan oinarritutako Intrusioak Detektatzeko Sistema (HIDS) baten gaitasunak konbinatzen ditu Segurtasun Intzidenteen Kudeaketa (SIM) eta Segurtasun Informazio eta Gertaerak Kudeatzeko (SIEM) sistema batekin. OSSECek fitxategien osotasuna ere kontrolatu dezake denbora errealean. Honek, adibidez, Windows erregistroa kontrolatzen du eta rootkit-ak detektatzen ditu. OSSEC gai da interes-taldeei detektatu diren arazoei buruz denbora errealean jakinarazteko eta hautemandako mehatxuei azkar erantzuten laguntzen die. Plataforma honek Microsoft Windows eta Unix antzeko sistema modernoenak onartzen ditu, besteak beste, Linux, FreeBSD, OpenBSD eta Solaris.
OSSEC plataforma kontrol entitate zentral batek, kudeatzaile batek, osatzen du, agenteen informazioa jaso eta kontrolatzeko erabiltzen dena (monitorizatu behar diren sistemetan instalatutako programa txikiak). Kudeatzailea Linux sistema batean instalatuta dago, eta fitxategien osotasuna egiaztatzeko erabiltzen den datu-base bat gordetzen du. Gertaeren erregistroak eta erregistroak eta sistemaren auditoretzaren emaitzak ere gordetzen ditu.
OSSEC proiektua gaur egun Atomicorp-ek laguntzen du. Konpainiak doako kode irekiko bertsioa gainbegiratzen du, eta, horrez gain, eskaintzen ditu produktuaren bertsio komertziala. OSSEC proiektuaren kudeatzaileak sistemaren azken bertsioari buruz hitz egiten duen podcasta - OSSEC 3.0. Proiektuaren historiaz ere hitz egiten du, eta segurtasun informatikoaren alorrean erabiltzen diren sistema komertzial modernoetatik nola desberdintzen den.
5. surikata
kode irekiko proiektu bat da, segurtasun informatikoaren arazo nagusiak konpontzera bideratuta. Bereziki, intrusioak hautemateko sistema, intrusioak prebenitzeko sistema eta sareko segurtasuna kontrolatzeko tresna bat ditu.
Produktu hau 2009an agertu zen. Bere lana arauetan oinarritzen da. Hau da, erabiltzen duenak sareko trafikoaren zenbait ezaugarri deskribatzeko aukera du. Araua abiarazten bada, Suricata-k jakinarazpen bat sortzen du, konexio susmagarria blokeatu edo amaitzen duena, eta, berriro ere, zehaztutako arauen araberakoa da. Proiektuak hari anitzeko funtzionamendua ere onartzen du. Horri esker, trafiko-bolumen handia duten sareetan arau kopuru handia azkar prozesatzea ahalbidetzen da. Hari anitzeko laguntzari esker, zerbitzari guztiz arrunt batek 10 Gbit/s-ko abiaduran bidaiatzen duen trafikoa arrakastaz aztertzeko gai da. Kasu honetan, administratzaileak ez du zertan mugatu behar trafikoa aztertzeko erabiltzen den arau multzoa. Suricata-k hashing eta fitxategien berreskurapena ere onartzen ditu.
Suricata ohiko zerbitzarietan edo makina birtualetan exekutatzeko konfigura daiteke, hala nola AWS, produktuan duela gutxi sartutako funtzio bat erabiliz. .
Proiektuak Lua script-ak onartzen ditu, mehatxuen sinadurak aztertzeko logika konplexu eta zehatza sortzeko erabil daitezkeenak.
Suricata proiektua Open Information Security Foundation-ek (OISF) kudeatzen du.
6. Zeek (anaia)
Suricata bezala, (lehen Bro deitzen zen proiektu hau eta BroCon 2018-n Zeek izena jarri zioten) intrusioak detektatzeko sistema eta sareko segurtasuna monitorizatzeko tresna bat ere bada, jarduera susmagarriak edo arriskutsuak bezalako anomaliak hauteman ditzakeena. Zeek IDS tradizionalarekiko desberdina da, salbuespenak detektatzen dituzten arauetan oinarritutako sistemek ez bezala, Zeek sarean gertatzen denari lotutako metadatuak ere harrapatzen ditu. Hau sarearen portaera ezohikoaren testuingurua hobeto ulertzeko egiten da. Horri esker, adibidez, HTTP dei bat edo segurtasun-ziurtagiriak trukatzeko prozedura aztertuz, protokoloa, paketeen goiburuetan, domeinu-izenak azter daitezke.
Zeek sareko segurtasun-tresnatzat hartzen badugu, esan genezake espezialista bati gertakari bat ikertzeko aukera ematen diola gertakaria aurretik edo bitartean gertatutakoari buruz ikasiz. Zeek-ek sareko trafikoaren datuak maila altuko gertaeretan bihurtzen ditu eta script-interpretatzaile batekin lan egiteko gaitasuna eskaintzen du. Interpretatzaileak programazio-lengoaia onartzen du, gertakariekin elkarreragiteko eta sareko segurtasunari dagokionez gertakari horiek zer esan nahi duten jakiteko. Zeek programazio-lengoaia metadatuak nola interpretatzen diren pertsonalizatzeko erabil daiteke erakunde zehatz baten beharretara egokitzeko. Baldintza logiko konplexuak eraikitzeko aukera ematen du AND, OR eta NOT operadoreak erabiliz. Horrek erabiltzaileei beren inguruneak nola aztertzen diren pertsonalizatzeko gaitasuna ematen die. Hala ere, kontuan izan behar da, Suricatarekin alderatuta, Zeek-ek tresna konplexu samarra dirudiela segurtasun-mehatxuen azterketa egiten denean.
Zeek-i buruzko xehetasun gehiago interesatzen bazaizu, jarri harremanetan bideoa.
7. Pantera
Segurtasun etengabeko monitorizaziorako plataforma indartsua da. Duela gutxi kode irekiko kategoriara pasatu da. Proiektuaren jatorrian arkitekto nagusia dago β Erregistroen analisi automatikorako soluzioak, zeinaren kodea Airbnb-ek ireki zuen. Panther-ek sistema bakarra eskaintzen dio erabiltzaileari ingurune guztietan mehatxuak detektatzeko eta horiei erantzuna antolatzeko. Sistema hau zerbitzatzen ari den azpiegituren tamainarekin batera hazteko gai da. Mehatxuak hautematea arau garden eta deterministetan oinarritzen da segurtasun profesionalen positibo faltsuak eta alferrikako lan karga murrizteko.
Panther-en ezaugarri nagusien artean honako hauek daude:
- Baliabideetarako baimenik gabeko sarbidea detektatu erregistroak aztertuz.
- Mehatxuak hautematea, segurtasun-arazoak adierazten dituzten adierazleen erregistroak bilatuz gauzatua. Bilaketa Panterren datu-eremu estandarizatuak erabiliz egiten da.
- Sistema SOC/PCI/HIPAA estandarrak erabiliz egiaztatzea Panter mekanismoak.
- Babestu zure hodeiko baliabideak erasotzaileek ustiatuz gero arazo larriak sor ditzaketen konfigurazio akatsak automatikoki zuzenduz.
Panther erakunde baten AWS hodeian zabaltzen da AWS CloudFormation erabiliz. Horri esker, erabiltzaileak bere datuen kontrola beti izan dezake.
Emaitzak
Sistemaren segurtasuna kontrolatzea zeregin kritikoa da egun. Arazo hau konpontzeko, edozein tamainatako enpresek aukera asko eskaintzen dituzten eta ia ezer balio ez duten edo doakoak diren kode irekiko tresnek lagundu dezakete.
Irakurle maitea! Zeintzuk dira segurtasuna kontrolatzeko tresnak erabiltzen?
Iturria: www.habr.com