Pilvipalveluiden laaja käyttöönotto auttaa yrityksiä skaalaamaan liiketoimintaansa. Mutta uusien alustojen käyttö merkitsee myös uusien uhkien ilmaantumista. Oman tiimin ylläpitäminen pilvipalvelujen turvallisuuden valvonnasta vastaavassa organisaatiossa ei ole helppo tehtävä. Nykyiset valvontatyökalut ovat kalliita ja hitaita. Niitä on jossain määrin vaikea hallita, kun on kyse laajamittaisen pilviinfrastruktuurin turvaamisesta. Pitääkseen pilvitietoturvansa korkealla tasolla yritykset tarvitsevat tehokkaita, joustavia ja intuitiivisia työkaluja, jotka menevät pidemmälle kuin aiemmin oli saatavilla. Tässä avoimen lähdekoodin teknologiat ovat erittäin hyödyllisiä, sillä ne auttavat säästämään tietoturvabudjetteja ja ne ovat luoneet asiantuntijat, jotka tietävät paljon yrityksestään.
Artikkeli, jonka käännöksen julkaisemme tänään, tarjoaa yleiskatsauksen 7 avoimen lähdekoodin työkalusta pilvijärjestelmien turvallisuuden valvontaan. Nämä työkalut on suunniteltu suojaamaan hakkereilta ja kyberrikollisilta havaitsemalla poikkeavuuksia ja vaarallisia toimia.
1. Osquery
on käyttöjärjestelmien matalan tason valvonta- ja analysointijärjestelmä, jonka avulla tietoturva-ammattilaiset voivat suorittaa monimutkaista tiedonlouhintaa SQL:n avulla. Osquery-kehys voi toimia Linuxissa, macOS:ssä, Windowsissa ja FreeBSD:ssä. Se edustaa käyttöjärjestelmää (OS) tehokkaana relaatiotietokantana. Näin tietoturvaasiantuntijat voivat tutkia käyttöjärjestelmää suorittamalla SQL-kyselyitä. Esimerkiksi kyselyn avulla voit saada tietoa käynnissä olevista prosesseista, ladatuista ydinmoduuleista, avoimista verkkoyhteyksistä, asennetuista selainlaajennuksista, laitteistotapahtumista ja tiedostojen tiivisteistä.
Osquery-kehyksen loi Facebook. Sen koodi oli avoimen lähdekoodin vuonna 2014, kun yritys tajusi, että se ei vain itse tarvinnut työkaluja käyttöjärjestelmien matalan tason mekanismien valvontaan. Siitä lähtien Osqueryä ovat käyttäneet asiantuntijat sellaisista yrityksistä kuin Dactiv, Google, Kolide, Trail of Bits, Uptycs ja monet muut. Se oli äskettäin että Linux Foundation ja Facebook aikovat muodostaa rahaston Osqueryn tukemiseksi.
Osqueryn isäntävalvontadaemonin, nimeltään osqueryd, avulla voit ajoittaa kyselyitä, jotka keräävät tietoja organisaatiosi infrastruktuurista. Daemon kerää kyselytuloksia ja luo lokeja, jotka kuvastavat infrastruktuurin tilan muutoksia. Tämä voi auttaa tietoturva-ammattilaisia pysymään ajan tasalla järjestelmän tilasta ja on erityisen hyödyllinen poikkeamien tunnistamisessa. Osqueryn lokien yhdistämisominaisuuksia voidaan käyttää auttamaan sinua löytämään tunnettuja ja tuntemattomia haittaohjelmia sekä tunnistamaan, mihin hyökkääjät ovat tunkeutuneet järjestelmääsi ja mitä ohjelmia he ovat asentaneet. Lue lisää poikkeamien havaitsemisesta Osqueryn avulla.
2.GoAudit
Järjestelmä koostuu kahdesta pääkomponentista. Ensimmäinen on jokin ydintason koodi, joka on suunniteltu sieppaamaan ja valvomaan järjestelmäkutsuja. Toinen komponentti on käyttäjäavaruuden demoni nimeltä . Se on vastuussa tarkastustulosten kirjoittamisesta levylle. , yrityksen luoma järjestelmä ja julkaistiin vuonna 2016, tarkoitus korvata auditd. Se on parantanut lokiominaisuuksia muuntamalla Linux-tarkastusjärjestelmän luomat moniriviset tapahtumaviestit yksittäisiksi JSON-blobeiksi analysoinnin helpottamiseksi. GoAuditin avulla voit käyttää ydintason mekanismeja suoraan verkon kautta. Lisäksi voit ottaa käyttöön minimaalisen tapahtumasuodatuksen itse isännässä (tai poistaa suodatuksen kokonaan käytöstä). Samaan aikaan GoAudit on projekti, joka ei ole suunniteltu pelkästään turvallisuuden varmistamiseen. Tämä työkalu on suunniteltu monipuoliseksi työkaluksi järjestelmätuen tai -kehityksen ammattilaisille. Se auttaa torjumaan ongelmia suurissa infrastruktuureissa.
GoAudit-järjestelmä on kirjoitettu golangilla. Se on tyyppiturvallinen ja suorituskykyinen kieli. Ennen kuin asennat GoAudit, tarkista, että Golang-versiosi on uudempi kuin 1.7.
3. Grapl
Hanke (Graph Analytics Platform) siirrettiin avoimen lähdekoodin kategoriaan viime vuoden maaliskuussa. Se on suhteellisen uusi alusta tietoturvaongelmien havaitsemiseen, tietokonerikosteknisten tutkimusten suorittamiseen ja tapausraporttien luomiseen. Hyökkääjät työskentelevät usein käyttämällä jotain kaaviomallia, ottamalla yhden järjestelmän hallintaansa ja tutkien muita verkkojärjestelmiä kyseisestä järjestelmästä alkaen. Siksi on aivan luonnollista, että järjestelmän puolustajat käyttävät myös verkkojärjestelmien kytkentäkaavion malliin perustuvaa mekanismia, jossa otetaan huomioon järjestelmien välisten suhteiden erityispiirteet. Grapl esittelee yritystä toteuttaa tapahtuman havaitsemis- ja reagointitoimenpiteitä kaaviomallin perusteella lokimallin sijaan.
Grapl-työkalu ottaa tietoturvaan liittyviä lokeja (Sysmon-lokit tai lokit tavallisessa JSON-muodossa) ja muuntaa ne aligraafiksi (määrittää "identiteetin" jokaiselle solmulle). Sen jälkeen se yhdistää aligraafit yhteiseksi graafiksi (Master Graph), joka edustaa analysoiduissa ympäristöissä suoritettuja toimia. Sitten Grapl suorittaa Analyzers-ohjelman tuloksena olevalle kaaviolle käyttämällä "hyökkääjien allekirjoituksia" poikkeamien ja epäilyttäviä kuvioita tunnistaakseen. Kun analysaattori tunnistaa epäilyttävän aligraafin, Grapl luo tutkimukseen tarkoitetun Engagement-konstruktin. Engagement on Python-luokka, joka voidaan ladata esimerkiksi AWS-ympäristössä käyttöön otettuun Jupyter Notebookiin. Grapl voi lisäksi lisätä tiedonkeruun laajuutta tapahtumien tutkimista varten kaavion laajentamisen avulla.
Jos haluat ymmärtää Graplia paremmin, voit katsoa mielenkiintoinen video - BSides Las Vegas 2019 -esityksen tallennus.
4. OSSEC
on vuonna 2004 perustettu projekti. Tätä projektia voidaan yleisesti luonnehtia avoimen lähdekoodin tietoturvan seurantaalustaksi, joka on suunniteltu isäntäanalyysiin ja tunkeutumisen havaitsemiseen. OSSEC ladataan yli 500000 XNUMX kertaa vuodessa. Tätä alustaa käytetään pääasiassa palvelimien tunkeutumisen havaitsemiseen. Lisäksi puhumme sekä paikallisista että pilvijärjestelmistä. OSSEC:tä käytetään usein myös palomuurien, tunkeutumisen havainnointijärjestelmien, verkkopalvelimien valvonta- ja analysointilokien tutkimiseen sekä todennuslokien tutkimiseen.
OSSEC yhdistää isäntäpohjaisen tunkeutumisen havainnointijärjestelmän (HIDS) ominaisuudet turvallisuustapahtumien hallintaan (SIM) ja Security Information and Event Management (SIEM) -järjestelmään. OSSEC voi myös valvoa tiedostojen eheyttä reaaliajassa. Tämä esimerkiksi valvoo Windowsin rekisteriä ja havaitsee rootkitit. OSSEC pystyy ilmoittamaan sidosryhmille havaituista ongelmista reaaliajassa ja auttaa reagoimaan nopeasti havaittuihin uhkiin. Tämä alusta tukee Microsoft Windowsia ja uusimpia Unix-tyyppisiä järjestelmiä, mukaan lukien Linux, FreeBSD, OpenBSD ja Solaris.
OSSEC-alusta koostuu keskitetystä ohjausyksiköstä, johtajasta, jota käytetään vastaanottamaan ja valvomaan tietoja agenteilta (järjestelmiin asennettuja pieniä ohjelmia, joita on valvottava). Manager on asennettu Linux-järjestelmään, joka tallentaa tietokannan, jota käytetään tiedostojen eheyden tarkistamiseen. Se myös tallentaa lokit ja tietueet tapahtumista ja järjestelmän tarkastustuloksista.
OSSEC-projektia tukee tällä hetkellä Atomicorp. Yritys valvoo ilmaista avoimen lähdekoodin versiota ja lisäksi tarjouksia tuotteen kaupallinen versio. podcast, jossa OSSEC-projektipäällikkö puhuu järjestelmän uusimmasta versiosta - OSSEC 3.0. Se kertoo myös projektin historiasta ja miten se eroaa nykyaikaisista kaupallisista järjestelmistä, joita käytetään tietoturvan alalla.
5. surikat
on avoimen lähdekoodin projekti, joka keskittyy ratkaisemaan keskeisiä tietoturvaongelmia. Se sisältää erityisesti tunkeutumisen havaitsemisjärjestelmän, tunkeutumisen estojärjestelmän ja verkon turvallisuuden valvontatyökalun.
Tämä tuote ilmestyi vuonna 2009. Hänen työnsä perustuu sääntöihin. Eli sillä, joka käyttää sitä, on mahdollisuus kuvata tiettyjä verkkoliikenteen ominaisuuksia. Jos sääntö laukeaa, Suricata luo ilmoituksen, joka estää tai katkaisee epäilyttävän yhteyden, mikä taas riippuu määritetyistä säännöistä. Projekti tukee myös monisäikeistä toimintaa. Tämä mahdollistaa useiden sääntöjen nopean käsittelyn verkoissa, jotka kuljettavat suuria määriä liikennettä. Monisäikeisen tuen ansiosta täysin tavallinen palvelin pystyy analysoimaan onnistuneesti 10 Gbit/s nopeudella kulkevaa liikennettä. Tässä tapauksessa järjestelmänvalvojan ei tarvitse rajoittaa liikenneanalyysiin käytettyjä sääntöjä. Suricata tukee myös tiivistystä ja tiedostojen hakua.
Suricata voidaan määrittää toimimaan tavallisilla palvelimilla tai virtuaalikoneilla, kuten AWS, käyttämällä tuotteen äskettäin esiteltyä ominaisuutta. .
Projekti tukee Lua-skriptejä, joiden avulla voidaan luoda monimutkaista ja yksityiskohtaista logiikkaa uhkien allekirjoitusten analysointiin.
Suricata-projektia hallinnoi Open Information Security Foundation (OISF).
6. Zeek (veli)
Kuten Suricata, (tämä projekti oli aiemmin nimeltään Bro ja nimettiin uudelleen Zeek BroCon 2018:ssa) on myös tunkeutumisen havaitsemisjärjestelmä ja verkkoturvallisuuden seurantatyökalu, joka voi havaita poikkeavuuksia, kuten epäilyttävän tai vaarallisen toiminnan. Zeek eroaa perinteisestä IDS:stä siinä, että toisin kuin poikkeuksia havaitsevat sääntöpohjaiset järjestelmät, Zeek kaappaa myös verkon tapahtumiin liittyvät metatiedot. Tämä tehdään, jotta voidaan ymmärtää paremmin epätavallisen verkkokäyttäytymisen konteksti. Tämä mahdollistaa esimerkiksi HTTP-kutsua tai suojausvarmenteiden vaihtomenettelyä analysoimalla protokollan, pakettien otsikoiden, toimialueen nimien tarkastelun.
Jos katsomme Zeekin verkon suojaustyökaluksi, voimme sanoa, että se antaa asiantuntijalle mahdollisuuden tutkia tapausta oppimalla, mitä tapahtui ennen tapahtumaa tai sen aikana. Zeek myös muuntaa verkkoliikennetiedot korkean tason tapahtumiksi ja tarjoaa mahdollisuuden työskennellä skriptitulkin kanssa. Tulkki tukee ohjelmointikieltä, jota käytetään vuorovaikutuksessa tapahtumien kanssa ja selvittää, mitä tapahtumat tarkalleen ottaen tarkoittavat verkon turvallisuuden kannalta. Zeekin ohjelmointikielellä voidaan mukauttaa metatietojen tulkintaa tietyn organisaation tarpeiden mukaan. Sen avulla voit rakentaa monimutkaisia loogisia ehtoja käyttämällä AND-, OR- ja NOT-operaattoreita. Tämä antaa käyttäjille mahdollisuuden mukauttaa, miten heidän ympäristönsä analysoidaan. On kuitenkin huomattava, että Suricataan verrattuna Zeek saattaa tuntua melko monimutkaiselta työkalulta turvallisuusuhkien tiedustelussa.
Jos olet kiinnostunut Zeekistä, ota yhteyttä video.
7. Pantteri
on tehokas pilvipohjainen alusta jatkuvaan turvallisuuden valvontaan. Se siirrettiin hiljattain avoimen lähdekoodin kategoriaan. Pääarkkitehti on hankkeen alkulähteillä — ratkaisut automaattiseen lokianalyysiin, jonka koodin avasi Airbnb. Panther tarjoaa käyttäjälle yhden järjestelmän uhkien keskitetysti havaitsemiseen kaikissa ympäristöissä ja niihin reagoinnin järjestämiseen. Tämä järjestelmä pystyy kasvamaan palvelevan infrastruktuurin koon mukaan. Uhkien havaitseminen perustuu läpinäkyviin, deterministisiin sääntöihin, jotka vähentävät vääriä positiivisia tuloksia ja turhaa turvallisuusammattilaisten työtaakkaa.
Pantherin tärkeimpiä ominaisuuksia ovat seuraavat:
- Resurssien luvattoman käytön havaitseminen lokeja analysoimalla.
- Uhkien havaitseminen, joka toteutetaan etsimällä lokeista tietoturvaongelmia osoittavia indikaattoreita. Haku tehdään Panterin standardoiduilla tietokentillä.
- Tarkista, että järjestelmä noudattaa SOC/PCI/HIPAA-standardeja käyttämällä Panther-mekanismit.
- Suojaa pilviresursseja korjaamalla automaattisesti määritysvirheet, jotka voivat aiheuttaa vakavia ongelmia, jos hyökkääjät käyttävät niitä hyväkseen.
Panther otetaan käyttöön organisaation AWS-pilvessä AWS CloudFormationin avulla. Näin käyttäjä voi aina hallita tietojaan.
Tulokset
Järjestelmän turvallisuuden valvonta on nykyään tärkeä tehtävä. Tämän ongelman ratkaisemisessa kaikenkokoisia yrityksiä voidaan auttaa avoimen lähdekoodin työkaluilla, jotka tarjoavat paljon mahdollisuuksia ja jotka eivät maksa melkein mitään tai ovat ilmaisia.
Hyvä lukijat! Mitä turvallisuuden seurantatyökaluja käytät?
Lähde: will.com