ProHoster > وبلاگ > اداره > 7 ابزار منبع باز برای نظارت بر امنیت سیستم های ابری که ارزش دانستن در مورد آنها را دارد
7 ابزار منبع باز برای نظارت بر امنیت سیستم های ابری که ارزش دانستن در مورد آنها را دارد
پذیرش گسترده رایانش ابری به شرکت ها کمک می کند تا کسب و کار خود را توسعه دهند. اما استفاده از پلتفرم های جدید به معنای ظهور تهدیدهای جدید نیز هست. حفظ تیم خود در سازمانی که مسئولیت نظارت بر امنیت خدمات ابری را بر عهده دارد، کار آسانی نیست. ابزارهای نظارتی موجود گران و کند هستند. مدیریت آنها تا حدی در هنگام تامین امنیت زیرساختهای ابری در مقیاس بزرگ دشوار است. برای حفظ امنیت ابری خود در سطح بالا، شرکت ها به ابزارهای قدرتمند، منعطف و بصری نیاز دارند که فراتر از آنچه قبلاً در دسترس بود، باشد. اینجاست که فناوریهای منبع باز بسیار مفید هستند و به صرفهجویی در بودجههای امنیتی کمک میکنند و توسط متخصصانی ایجاد میشوند که اطلاعات زیادی در مورد تجارت خود دارند.
مقاله ای که ترجمه آن را امروز منتشر می کنیم، مروری بر 7 ابزار متن باز برای نظارت بر امنیت سیستم های ابری ارائه می دهد. این ابزارها برای محافظت در برابر هکرها و مجرمان سایبری با شناسایی ناهنجاری ها و فعالیت های ناایمن طراحی شده اند.
1. پرس و جو
استعلام سیستمی برای نظارت و تجزیه و تحلیل سطح پایین سیستم عامل ها است که به متخصصان امنیتی اجازه می دهد تا داده کاوی پیچیده را با استفاده از SQL انجام دهند. فریم ورک Osquery می تواند بر روی Linux، macOS، Windows و FreeBSD اجرا شود. این سیستم عامل (OS) را به عنوان یک پایگاه داده رابطه ای با کارایی بالا نشان می دهد. این به متخصصان امنیتی اجازه می دهد تا سیستم عامل را با اجرای پرس و جوهای SQL بررسی کنند. به عنوان مثال، با استفاده از یک پرس و جو، می توانید از فرآیندهای در حال اجرا، ماژول های هسته بارگیری شده، اتصالات شبکه باز، پسوندهای نصب شده مرورگر، رویدادهای سخت افزاری و هش فایل ها مطلع شوید.
چارچوب Osquery توسط فیس بوک ایجاد شده است. کد آن در سال 2014 پس از اینکه شرکت متوجه شد که تنها خودش به ابزارهایی برای نظارت بر مکانیسم های سطح پایین سیستم عامل ها نیاز دارد، منبع باز شد. از آن زمان، Osquery توسط متخصصان شرکت هایی مانند Dactiv، Google، Kolide، Trail of Bits، Uptycs و بسیاری دیگر مورد استفاده قرار گرفت. اخیرا بود اعلام کرد که بنیاد لینوکس و فیسبوک قرار است صندوقی را برای حمایت از Osquery تشکیل دهند.
شبح نظارت میزبان Osquery، به نام osqueryd، به شما امکان می دهد پرس و جوهایی را برنامه ریزی کنید که داده ها را از سراسر زیرساخت سازمان شما جمع آوری می کند. دیمون نتایج پرس و جو را جمع آوری می کند و گزارش هایی ایجاد می کند که تغییرات در وضعیت زیرساخت را منعکس می کند. این می تواند به متخصصان امنیتی کمک کند تا از وضعیت سیستم مطلع شوند و به ویژه برای شناسایی ناهنجاری ها مفید است. از قابلیتهای جمعآوری گزارش Osquery میتوان برای کمک به یافتن بدافزارهای شناخته شده و ناشناخته، و همچنین شناسایی مکانهایی که مهاجمان وارد سیستم شما شدهاند و برنامههایی را که نصب کردهاند، استفاده کرد. در اینجا این است درباره تشخیص ناهنجاری با استفاده از Osquery بیشتر بخوانید.
2. GoAudit
سیستم ممیزی لینوکس از دو جزء اصلی تشکیل شده است. اولی برخی از کدهای سطح هسته است که برای رهگیری و نظارت بر تماس های سیستم طراحی شده است. مولفه دوم یک شبح فضای کاربری است که نامیده می شود حسابرسی شده است. این وظیفه نوشتن نتایج ممیزی روی دیسک است. GoAudit، سیستمی که توسط این شرکت ایجاد شده است شل و در سال 2016 منتشر شد، در نظر گرفته شده جایگزین ممیزی شود. با تبدیل پیامهای رویداد چند خطی تولید شده توسط سیستم حسابرسی لینوکس به حبابهای JSON برای تجزیه و تحلیل آسانتر، قابلیتهای ثبت را بهبود بخشیده است. با GoAudit می توانید مستقیماً به مکانیسم های سطح هسته از طریق شبکه دسترسی داشته باشید. علاوه بر این، می توانید حداقل فیلتر رویداد را در خود میزبان فعال کنید (یا فیلتر را به طور کامل غیرفعال کنید). در عین حال، GoAudit یک پروژه است که نه تنها برای تضمین امنیت طراحی شده است. این ابزار به عنوان یک ابزار غنی از ویژگی برای متخصصان پشتیبانی یا توسعه سیستم طراحی شده است. این به مبارزه با مشکلات در زیرساخت های بزرگ کمک می کند.
سیستم GoAudit به زبان Golang نوشته شده است. این یک زبان امن و با کارایی بالا است. قبل از نصب GoAudit، بررسی کنید که نسخه Golang شما بالاتر از 1.7 باشد.
3. Grapl
پروژه گرپل (پلتفرم Graph Analytics) در اسفند ماه سال گذشته به رده متن باز منتقل شد. این یک پلت فرم نسبتاً جدید برای تشخیص مسائل امنیتی، انجام تحقیقات قانونی کامپیوتری و تولید گزارشهای حوادث است. مهاجمان اغلب با استفاده از چیزی مانند یک مدل گراف کار می کنند، کنترل یک سیستم واحد را به دست می آورند و سایر سیستم های شبکه را با شروع از آن سیستم کاوش می کنند. بنابراین، کاملاً طبیعی است که مدافعان سیستم نیز از مکانیزمی مبتنی بر مدل نمودار اتصالات سیستم های شبکه با در نظر گرفتن ویژگی های روابط بین سیستم ها استفاده کنند. Grapl تلاشی را برای پیادهسازی اقدامات تشخیص حادثه و پاسخ بر اساس یک مدل نمودار به جای یک مدل گزارش نشان میدهد.
ابزار Grapl گزارشهای مربوط به امنیت را میگیرد (گزارشهای Sysmon یا گزارشها در قالب JSON معمولی) و آنها را به زیرگراف تبدیل میکند (تعریف یک "هویت" برای هر گره). پس از آن، زیرگراف ها را در یک گراف مشترک (Master Graph) ترکیب می کند، که نشان دهنده اقدامات انجام شده در محیط های تجزیه و تحلیل شده است. سپس Grapl برای شناسایی ناهنجاریها و الگوهای مشکوک، آنالیزورها را با استفاده از «امضای مهاجم» روی نمودار حاصل اجرا میکند. هنگامی که تحلیلگر یک زیرگراف مشکوک را شناسایی می کند، Grapl یک ساختار Engagement تولید می کند که برای تحقیقات در نظر گرفته شده است. Engagement یک کلاس پایتون است که می تواند برای مثال در یک نوت بوک Jupyter مستقر در محیط AWS بارگذاری شود. Grapl علاوه بر این، میتواند مقیاس جمعآوری اطلاعات را برای بررسی رویداد از طریق گسترش نمودار افزایش دهد.
اگر می خواهید Grapl را بهتر درک کنید، می توانید نگاهی بیندازید این ویدیوی جالب - ضبط یک اجرا از BSides Las Vegas 2019.
4. OSSEC
OSSEC پروژه ای است که در سال 2004 تاسیس شد. این پروژه، به طور کلی، می تواند به عنوان یک پلت فرم نظارت بر امنیت منبع باز طراحی شده برای تجزیه و تحلیل میزبان و تشخیص نفوذ مشخص شود. OSSEC بیش از 500000 بار در سال دانلود می شود. این پلتفرم عمدتاً به عنوان وسیله ای برای تشخیص نفوذ در سرورها استفاده می شود. علاوه بر این، ما در مورد هر دو سیستم محلی و ابری صحبت می کنیم. OSSEC همچنین اغلب به عنوان ابزاری برای بررسی گزارش های نظارت و تجزیه و تحلیل فایروال ها، سیستم های تشخیص نفوذ، سرورهای وب و همچنین برای مطالعه لاگ های احراز هویت استفاده می شود.
OSSEC قابلیت های یک سیستم تشخیص نفوذ مبتنی بر میزبان (HIDS) را با یک سیستم مدیریت حوادث امنیتی (SIM) و سیستم اطلاعات امنیتی و مدیریت رویداد (SIEM) ترکیب می کند. OSSEC همچنین می تواند یکپارچگی فایل را در زمان واقعی نظارت کند. این، برای مثال، رجیستری ویندوز را نظارت می کند و روت کیت ها را شناسایی می کند. OSSEC قادر است ذینفعان را در مورد مشکلات شناسایی شده در زمان واقعی مطلع کند و به پاسخ سریع به تهدیدات شناسایی شده کمک می کند. این پلتفرم از ویندوز مایکروسافت و اکثر سیستم های مدرن یونیکس مانند لینوکس، FreeBSD، OpenBSD و Solaris پشتیبانی می کند.
پلت فرم OSSEC از یک نهاد کنترل مرکزی، یک مدیر تشکیل شده است که برای دریافت و نظارت بر اطلاعات از عوامل (برنامه های کوچک نصب شده بر روی سیستم هایی که نیاز به نظارت دارند) استفاده می شود. مدیر بر روی یک سیستم لینوکس نصب شده است که پایگاه داده ای را ذخیره می کند که برای بررسی یکپارچگی فایل ها استفاده می شود. همچنین گزارشها و سوابق رویدادها و نتایج ممیزی سیستم را ذخیره میکند.
پروژه OSSEC در حال حاضر توسط Atomicorp پشتیبانی می شود. این شرکت بر یک نسخه منبع باز رایگان نظارت می کند و علاوه بر این، ارائه می دهد منبسط نسخه تجاری محصول در اینجا این است پادکستی که در آن مدیر پروژه OSSEC در مورد آخرین نسخه سیستم - OSSEC 3.0 صحبت می کند. همچنین در مورد تاریخچه پروژه و تفاوت آن با سیستم های تجاری مدرن مورد استفاده در زمینه امنیت رایانه صحبت می کند.
5. میرکت
سوریکاتا یک پروژه متن باز است که بر حل مشکلات اصلی امنیت رایانه متمرکز شده است. به طور خاص، شامل یک سیستم تشخیص نفوذ، یک سیستم جلوگیری از نفوذ، و یک ابزار نظارت بر امنیت شبکه است.
این محصول در سال 2009 ظاهر شد. کار او بر اساس قوانین است. یعنی کسی که از آن استفاده می کند این فرصت را دارد که ویژگی های خاصی از ترافیک شبکه را توصیف کند. اگر قانون راه اندازی شود، Suricata یک اعلان ایجاد می کند، اتصال مشکوک را مسدود یا خاتمه می دهد، که باز هم به قوانین مشخص شده بستگی دارد. این پروژه همچنین از عملیات چند رشته ای پشتیبانی می کند. این امر امکان پردازش سریع تعداد زیادی از قوانین را در شبکه هایی که حجم زیادی از ترافیک را حمل می کنند را ممکن می سازد. به لطف پشتیبانی از چند رشته، یک سرور کاملا معمولی قادر است ترافیکی را که با سرعت ۱۰ گیگابیت بر ثانیه در حال حرکت است، با موفقیت تجزیه و تحلیل کند. در این مورد، مدیر مجبور نیست مجموعه قوانین مورد استفاده برای تجزیه و تحلیل ترافیک را محدود کند. Suricata همچنین از هش و بازیابی فایل پشتیبانی می کند.
Suricata را می توان به گونه ای پیکربندی کرد که روی سرورهای معمولی یا ماشین های مجازی مانند AWS اجرا شود، با استفاده از ویژگی اخیراً معرفی شده در محصول نظارت بر ترافیک.
این پروژه از اسکریپت های Lua پشتیبانی می کند که می تواند برای ایجاد منطق پیچیده و دقیق برای تجزیه و تحلیل امضاهای تهدید استفاده شود.
پروژه Suricata توسط بنیاد امنیت اطلاعات باز (OISF) مدیریت می شود.
6. زیک (برادر)
مانند سوریکاتا، زیک (این پروژه قبلا Bro نام داشت و در BroCon 2018 به Zeek تغییر نام داد) همچنین یک سیستم تشخیص نفوذ و ابزار نظارت بر امنیت شبکه است که می تواند ناهنجاری هایی مانند فعالیت های مشکوک یا خطرناک را تشخیص دهد. Zeek با IDS سنتی تفاوت دارد زیرا برخلاف سیستمهای مبتنی بر قانون که استثناها را شناسایی میکنند، Zeek همچنین ابردادههای مرتبط با آنچه در شبکه اتفاق میافتد را ضبط میکند. این کار به منظور درک بهتر زمینه رفتار غیرعادی شبکه انجام می شود. این اجازه می دهد تا، برای مثال، با تجزیه و تحلیل یک تماس HTTP یا رویه مبادله گواهی های امنیتی، به پروتکل، سرصفحه بسته ها، و نام دامنه نگاه کنید.
اگر Zeek را به عنوان یک ابزار امنیتی شبکه در نظر بگیریم، میتوان گفت که به متخصص این فرصت را میدهد تا با اطلاع از اتفاقات قبل یا در حین حادثه، یک حادثه را بررسی کند. Zeek همچنین داده های ترافیک شبکه را به رویدادهای سطح بالا تبدیل می کند و توانایی کار با یک مفسر اسکریپت را فراهم می کند. مفسر از یک زبان برنامه نویسی پشتیبانی می کند که برای تعامل با رویدادها و فهمیدن معنای دقیق آن رویدادها از نظر امنیت شبکه استفاده می شود. زبان برنامه نویسی Zeek می تواند برای سفارشی کردن نحوه تفسیر ابرداده مطابق با نیازهای یک سازمان استفاده شود. این به شما امکان می دهد با استفاده از عملگرهای AND، OR و NOT شرایط منطقی پیچیده بسازید. این به کاربران این امکان را می دهد که نحوه تجزیه و تحلیل محیط خود را سفارشی کنند. با این حال، باید توجه داشت که در مقایسه با Suricata، Zeek ممکن است ابزاری نسبتاً پیچیده در هنگام انجام شناسایی تهدیدات امنیتی به نظر برسد.
اگر به جزئیات بیشتر در مورد Zeek علاقه مند هستید، لطفا تماس بگیرید این فیلم
7. پلنگ
پلنگ یک پلت فرم قدرتمند و بومی ابری برای نظارت مستمر امنیت است. اخیراً به دسته منبع باز منتقل شده است. معمار اصلی در مبدا پروژه است StreamAlert - راه حل هایی برای تجزیه و تحلیل خودکار گزارش که کد آن توسط Airbnb باز شد. Panther به کاربر یک سیستم واحد برای شناسایی مرکزی تهدیدها در همه محیط ها و سازماندهی پاسخ به آنها می دهد. این سیستم می تواند در کنار اندازه زیرساخت های مورد استفاده رشد کند. تشخیص تهدید بر اساس قوانین شفاف و قطعی برای کاهش موارد مثبت کاذب و حجم کار غیرضروری برای متخصصان امنیتی است.
از ویژگی های اصلی پلنگ می توان به موارد زیر اشاره کرد:
تشخیص دسترسی غیرمجاز به منابع با تجزیه و تحلیل گزارشها.
تشخیص تهدید، با جستجوی گزارشها برای نشانگرهایی که مشکلات امنیتی را نشان میدهند، اجرا میشود. جستجو با استفاده از فیلدهای داده استاندارد شده Panter انجام می شود.
بررسی سیستم برای مطابقت با استانداردهای SOC/PCI/HIPAA با استفاده از تعبیه شده است مکانیسم های پلنگ
با تصحیح خودکار خطاهای پیکربندی که در صورت سوء استفاده توسط مهاجمان میتوانند مشکلات جدی ایجاد کنند، از منابع ابری خود محافظت کنید.
Panther بر روی ابر AWS سازمان با استفاده از AWS CloudFormation مستقر شده است. این به کاربر این امکان را می دهد که همیشه اطلاعات خود را کنترل کند.
نمایش نتایج: از
این روزها نظارت بر امنیت سیستم یک وظیفه حیاتی است. در حل این مشکل، شرکت ها با هر اندازه ای می توانند با ابزارهای منبع باز که فرصت های زیادی را فراهم می کنند و تقریباً هیچ هزینه ای ندارند یا رایگان هستند، کمک می کنند.
خوانندگان عزیز! از چه ابزارهای نظارت بر امنیت استفاده می کنید؟