L'adoption généralisée du cloud computing aide les entreprises à développer leurs activités. Mais l’utilisation de nouvelles plateformes signifie aussi l’émergence de nouvelles menaces. Maintenir sa propre équipe au sein d’une organisation chargée de surveiller la sécurité des services cloud n’est pas une tâche facile. Les outils de surveillance existants sont coûteux et lents. Ils sont, dans une certaine mesure, difficiles à gérer lorsqu’il s’agit de sécuriser une infrastructure cloud à grande échelle. Pour maintenir la sécurité de leur cloud à un niveau élevé, les entreprises ont besoin d'outils puissants, flexibles et intuitifs qui vont au-delà de ce qui était auparavant disponible. C'est là que les technologies open source s'avèrent très utiles, car elles permettent d'économiser les budgets de sécurité et sont créées par des spécialistes qui connaissent bien leur métier.
L'article, dont nous publions aujourd'hui la traduction, donne un aperçu de 7 outils open source pour surveiller la sécurité des systèmes cloud. Ces outils sont conçus pour se protéger contre les pirates informatiques et les cybercriminels en détectant les anomalies et les activités dangereuses.
1. Osquery
est un système de surveillance et d'analyse de bas niveau des systèmes d'exploitation qui permet aux professionnels de la sécurité d'effectuer une exploration de données complexes à l'aide de SQL. Le framework Osquery peut fonctionner sous Linux, macOS, Windows et FreeBSD. Il représente le système d'exploitation (OS) comme une base de données relationnelle hautes performances. Cela permet aux spécialistes de la sécurité d'examiner le système d'exploitation en exécutant des requêtes SQL. Par exemple, à l'aide d'une requête, vous pouvez en savoir plus sur les processus en cours, les modules du noyau chargés, les connexions réseau ouvertes, les extensions de navigateur installées, les événements matériels et les hachages de fichiers.
Le framework Osquery a été créé par Facebook. Son code est devenu open source en 2014, après que l'entreprise a réalisé que ce n'était pas seulement elle-même qui avait besoin d'outils pour surveiller les mécanismes de bas niveau des systèmes d'exploitation. Depuis, Osquery est utilisé par des spécialistes d'entreprises telles que Dactiv, Google, Kolide, Trail of Bits, Uptycs et bien d'autres. C'était récemment que la Fondation Linux et Facebook vont créer un fonds pour soutenir Osquery.
Le démon de surveillance des hôtes d'Osquery, appelé osqueryd, vous permet de planifier des requêtes qui collectent des données sur l'ensemble de l'infrastructure de votre organisation. Le démon collecte les résultats des requêtes et crée des journaux qui reflètent les changements dans l'état de l'infrastructure. Cela peut aider les professionnels de la sécurité à rester informés de l'état du système et est particulièrement utile pour identifier les anomalies. Les capacités d'agrégation de journaux d'Osquery peuvent être utilisées pour vous aider à trouver des logiciels malveillants connus et inconnus, ainsi qu'à identifier où les attaquants sont entrés dans votre système et à trouver les programmes qu'ils ont installés. En savoir plus sur la détection d’anomalies à l’aide d’Osquery.
2.GoAudit
Système se compose de deux éléments principaux. Le premier est du code au niveau du noyau conçu pour intercepter et surveiller les appels système. Le deuxième composant est un démon de l'espace utilisateur appelé . Il est responsable de l'écriture des résultats d'audit sur le disque. , un système créé par l'entreprise et publié en 2016, destiné à remplacer auditd. Il a amélioré les capacités de journalisation en convertissant les messages d'événements multilignes générés par le système d'audit Linux en blobs JSON uniques pour une analyse plus facile. Avec GoAudit, vous pouvez accéder directement aux mécanismes au niveau du noyau sur le réseau. De plus, vous pouvez activer un filtrage minimal des événements sur l'hôte lui-même (ou désactiver complètement le filtrage). En même temps, GoAudit est un projet conçu non seulement pour assurer la sécurité. Cet outil est conçu comme un outil riche en fonctionnalités pour le support système ou les professionnels du développement. Il permet de lutter contre les problèmes des infrastructures à grande échelle.
Le système GoAudit est écrit en Golang. Il s’agit d’un langage de type sécurisé et performant. Avant d'installer GoAudit, vérifiez que votre version de Golang est supérieure à 1.7.
3. Grappin
Projet (Graph Analytics Platform) a été transféré dans la catégorie open source en mars de l'année dernière. Il s'agit d'une plate-forme relativement nouvelle permettant de détecter les problèmes de sécurité, d'effectuer des analyses informatiques et de générer des rapports d'incidents. Les attaquants travaillent souvent en utilisant quelque chose comme un modèle graphique, prenant le contrôle d'un seul système et explorant d'autres systèmes réseau à partir de ce système. Il est donc tout à fait naturel que les défenseurs du système utilisent également un mécanisme basé sur un modèle de graphe de connexions de systèmes réseau, prenant en compte les particularités des relations entre systèmes. Grapl démontre une tentative de mise en œuvre de mesures de détection et de réponse aux incidents basées sur un modèle graphique plutôt que sur un modèle de journal.
L'outil Grapl prend les journaux liés à la sécurité (journaux Sysmon ou journaux au format JSON standard) et les convertit en sous-graphes (définissant une « identité » pour chaque nœud). Après cela, il combine les sous-graphiques dans un graphe commun (Master Graph), qui représente les actions effectuées dans les environnements analysés. Grapl exécute ensuite des analyseurs sur le graphique résultant en utilisant des « signatures d'attaquants » pour identifier les anomalies et les modèles suspects. Lorsque l'analyseur identifie un sous-graphe suspect, Grapl génère une construction d'engagement destinée à l'enquête. Engagement est une classe Python qui peut être chargée, par exemple, dans un Jupyter Notebook déployé dans l'environnement AWS. Grapl, en outre, peut augmenter l'échelle de collecte d'informations pour les enquêtes sur les incidents grâce à l'expansion des graphiques.
Si vous souhaitez mieux comprendre Grapl, vous pouvez jeter un oeil vidéo intéressante - enregistrement d'une performance de BSides Las Vegas 2019.
4. OSSEC
est un projet fondé en 2004. Ce projet, en général, peut être caractérisé comme une plate-forme de surveillance de sécurité open source conçue pour l'analyse des hôtes et la détection des intrusions. OSSEC est téléchargé plus de 500000 XNUMX fois par an. Cette plateforme est utilisée principalement comme moyen de détection d'intrusions sur les serveurs. De plus, nous parlons à la fois de systèmes locaux et cloud. OSSEC est également souvent utilisé comme outil pour examiner les journaux de surveillance et d'analyse des pare-feu, des systèmes de détection d'intrusion, des serveurs Web, ainsi que pour étudier les journaux d'authentification.
OSSEC combine les capacités d'un système de détection d'intrusion basé sur l'hôte (HIDS) avec un système de gestion des incidents de sécurité (SIM) et de gestion des informations et des événements de sécurité (SIEM). OSSEC peut également surveiller l'intégrité des fichiers en temps réel. Celui-ci surveille par exemple le registre Windows et détecte les rootkits. OSSEC est capable d'informer les parties prenantes des problèmes détectés en temps réel et permet de répondre rapidement aux menaces détectées. Cette plate-forme prend en charge Microsoft Windows et la plupart des systèmes de type Unix modernes, notamment Linux, FreeBSD, OpenBSD et Solaris.
La plateforme OSSEC est constituée d'une entité centrale de contrôle, un gestionnaire, utilisée pour recevoir et surveiller les informations des agents (petits programmes installés sur les systèmes à surveiller). Le gestionnaire est installé sur un système Linux, qui stocke une base de données utilisée pour vérifier l'intégrité des fichiers. Il stocke également les journaux et les enregistrements des événements et les résultats de l'audit du système.
Le projet OSSEC est actuellement soutenu par Atomicorp. La société supervise une version open source gratuite et propose en outre version commerciale du produit. podcast dans lequel le chef de projet OSSEC parle de la dernière version du système - OSSEC 3.0. Il parle également de l'histoire du projet et de la manière dont il diffère des systèmes commerciaux modernes utilisés dans le domaine de la sécurité informatique.
5. suricate
est un projet open source axé sur la résolution des principaux problèmes de sécurité informatique. Il comprend notamment un système de détection d'intrusion, un système de prévention des intrusions et un outil de surveillance de la sécurité du réseau.
Ce produit est apparu en 2009. Son travail est basé sur des règles. Autrement dit, celui qui l'utilise a la possibilité de décrire certaines caractéristiques du trafic réseau. Si la règle est déclenchée, Suricata génère une notification bloquant ou mettant fin à la connexion suspecte, ce qui, encore une fois, dépend des règles spécifiées. Le projet prend également en charge le fonctionnement multithread. Cela permet de traiter rapidement un grand nombre de règles dans des réseaux qui transportent de gros volumes de trafic. Grâce au support multithread, un serveur tout à fait ordinaire est capable d'analyser avec succès le trafic circulant à une vitesse de 10 Gbit/s. Dans ce cas, l'administrateur n'a pas à limiter l'ensemble des règles utilisées pour l'analyse du trafic. Suricata prend également en charge le hachage et la récupération de fichiers.
Suricata peut être configuré pour s'exécuter sur des serveurs classiques ou sur des machines virtuelles, telles qu'AWS, à l'aide d'une fonctionnalité récemment introduite dans le produit. .
Le projet prend en charge les scripts Lua, qui peuvent être utilisés pour créer une logique complexe et détaillée pour analyser les signatures de menaces.
Le projet Suricata est géré par l'Open Information Security Foundation (OISF).
6. Zeek (frère)
Comme Suricata, (ce projet s'appelait auparavant Bro et a été renommé Zeek lors de BroCon 2018) est également un système de détection d'intrusion et un outil de surveillance de la sécurité du réseau qui peut détecter des anomalies telles qu'une activité suspecte ou dangereuse. Zeek diffère de l'IDS traditionnel dans la mesure où, contrairement aux systèmes basés sur des règles qui détectent les exceptions, Zeek capture également les métadonnées associées à ce qui se passe sur le réseau. Ceci est effectué afin de mieux comprendre le contexte d'un comportement inhabituel du réseau. Cela permet par exemple, en analysant un appel HTTP ou la procédure d'échange de certificats de sécurité, de regarder le protocole, les entêtes des paquets, les noms de domaine.
Si nous considérons Zeek comme un outil de sécurité réseau, nous pouvons alors dire qu'il donne à un spécialiste la possibilité d'enquêter sur un incident en apprenant ce qui s'est passé avant ou pendant l'incident. Zeek convertit également les données de trafic réseau en événements de haut niveau et offre la possibilité de travailler avec un interpréteur de script. L'interpréteur prend en charge un langage de programmation utilisé pour interagir avec les événements et comprendre ce que ces événements signifient exactement en termes de sécurité du réseau. Le langage de programmation Zeek peut être utilisé pour personnaliser la manière dont les métadonnées sont interprétées afin de répondre aux besoins spécifiques d'une organisation. Il vous permet de créer des conditions logiques complexes à l'aide des opérateurs AND, OR et NOT. Cela donne aux utilisateurs la possibilité de personnaliser la façon dont leurs environnements sont analysés. Cependant, il convient de noter que, comparé à Suricata, Zeek peut sembler un outil plutôt complexe lors de la reconnaissance des menaces à la sécurité.
Si vous souhaitez plus de détails sur Zeek, veuillez contacter vidéo.
7. Panthère
est une plateforme cloud native puissante pour une surveillance continue de la sécurité. Il a récemment été transféré dans la catégorie open source. L'architecte principal est à l'origine du projet — des solutions d'analyse automatisée des logs, dont le code a été ouvert par Airbnb. Panther offre à l'utilisateur un système unique pour détecter de manière centralisée les menaces dans tous les environnements et organiser une réponse à celles-ci. Ce système est capable de croître en fonction de la taille de l’infrastructure desservie. La détection des menaces s'appuie sur des règles transparentes et déterministes pour réduire les faux positifs et la charge de travail inutile des professionnels de la sécurité.
Parmi les principales fonctionnalités de Panther figurent les suivantes :
- Détection des accès non autorisés aux ressources par analyse des journaux.
- Détection des menaces, mise en œuvre en recherchant dans les journaux des indicateurs indiquant des problèmes de sécurité. La recherche est effectuée à l'aide des champs de données standardisés de Panter.
- Vérification de la conformité du système aux normes SOC/PCI/HIPAA à l'aide Mécanismes panthère.
- Protégez vos ressources cloud en corrigeant automatiquement les erreurs de configuration qui pourraient entraîner de graves problèmes si elles étaient exploitées par des attaquants.
Panther est déployé sur le cloud AWS d'une organisation à l'aide d'AWS CloudFormation. Cela permet à l'utilisateur de toujours garder le contrôle de ses données.
Les résultats de
La surveillance de la sécurité du système est une tâche critique de nos jours. Pour résoudre ce problème, les entreprises de toute taille peuvent être aidées par des outils open source qui offrent de nombreuses opportunités et ne coûtent presque rien ou sont gratuits.
Chers lecteurs, Quels outils de surveillance de la sécurité utilisez-vous ?
Source: habr.com