Tha gabhail farsaing ri coimpiutaireachd sgòthan a’ cuideachadh chompanaidhean an gnìomhachas aca a sgèile. Ach tha cleachdadh àrd-ùrlaran ùra cuideachd a’ ciallachadh gum bi bagairtean ùra a’ nochdadh. Chan e obair fhurasta a th’ ann an sgioba agad fhèin a chumail taobh a-staigh buidheann le uallach airson sùil a chumail air tèarainteachd seirbheisean sgòthan. Tha na h-innealan sgrùdaidh a th’ ann mar-thà daor agus slaodach. Tha iad, gu ìre, duilich an riaghladh nuair a thig e gu bhith a’ faighinn bun-structar sgòthan air sgèile mhòr. Gus an tèarainteachd sgòthan aca a chumail aig ìre àrd, feumaidh companaidhean innealan cumhachdach, sùbailte agus intuitive a tha a’ dol nas fhaide na na bha ri fhaighinn roimhe. Seo far a bheil teicneòlasan stòr fosgailte a’ tighinn a-steach gu math feumail, a’ cuideachadh le bhith a’ sàbhaladh bhuidseatan tèarainteachd agus gan cruthachadh le eòlaichean aig a bheil tòrr eòlas mun ghnìomhachas aca.
Tha an artaigil, an eadar-theangachadh a tha sinn a 'foillseachadh an-diugh, a' toirt sealladh farsaing air 7 innealan fosgailte airson sùil a chumail air tèarainteachd siostaman neòil. Tha na h-innealan sin air an dealbhadh gus dìon an aghaidh luchd-hackers agus cybercriminals le bhith a’ lorg neo-riaghailteachdan agus gnìomhan mì-shàbhailte.
1. Oscair
na shiostam airson sgrùdadh agus sgrùdadh aig ìre ìosal air siostaman obrachaidh a leigeas le proifeiseantaich tèarainteachd mèinneadh dàta iom-fhillte a dhèanamh a’ cleachdadh SQL. Faodaidh frèam Osquery ruith air Linux, macOS, Windows agus FreeBSD. Tha e a’ riochdachadh an t-siostam obrachaidh (OS) mar stòr-dàta dàimh àrd-choileanaidh. Leigidh seo le eòlaichean tèarainteachd an OS a sgrùdadh le bhith a’ ruith cheistean SQL. Mar eisimpleir, le bhith a’ cleachdadh ceist, gheibh thu a-mach mu phròiseasan ruith, modalan kernel luchdaichte, ceanglaichean lìonra fosgailte, leudachaidhean brabhsair stàlaichte, tachartasan bathar-cruaidh, agus hashes faidhle.
Chaidh frèam Osquery a chruthachadh le Facebook. Chaidh an còd aige fhosgladh ann an 2014, às deidh don chompanaidh tuigsinn nach e a-mhàin iad fhèin a bha feumach air innealan gus sùil a chumail air uidheamachdan ìre ìosal nan siostaman obrachaidh. Bhon uairsin, tha Osquery air a bhith air a chleachdadh le eòlaichean bho chompanaidhean leithid Dactiv, Google, Kolide, Trail of Bits, Uptycs, agus mòran eile. Bha e o chionn ghoirid gu bheil an Linux Foundation agus Facebook gu bhith a’ cruthachadh maoin gus taic a thoirt do Osquery.
Leigidh daemon sgrùdaidh aoigheachd Osquery, ris an canar osqueryd, dhut ceistean a chlàradh a chruinnicheas dàta bho air feadh bun-structair na buidhne agad. Bidh an daemon a’ cruinneachadh toraidhean ceiste agus a’ cruthachadh logaichean a tha a’ nochdadh atharrachaidhean ann an staid a’ bhun-structair. Cuidichidh seo le proifeiseantaich tèarainteachd cumail suas ri inbhe an t-siostaim agus tha e gu sònraichte feumail airson neo-riaghailteachdan a chomharrachadh. Faodar comasan cruinneachaidh logaichean Osquery a chleachdadh gus do chuideachadh le bhith a’ lorg malware aithnichte agus neo-aithnichte, a bharrachd air comharrachadh far an deach luchd-ionnsaigh a-steach don t-siostam agad agus faighinn a-mach dè na prògraman a chuir iad a-steach. Leugh tuilleadh mu lorg neo-riaghailteachd a’ cleachdadh Osquery.
2.GoAudit
siostam air a dhèanamh suas de dhà phrìomh phàirtean. Is e a’ chiad fhear còd ìre kernel a chaidh a dhealbhadh gus casg a chuir air agus sùil a chumail air gairmean siostam. Is e an dàrna pàirt deamhan fànais cleachdaiche ris an canar . Tha e an urra ri toraidhean sgrùdaidh a sgrìobhadh gu diosc. , siostam a chruthaich a’ chompanaidh agus air fhoillseachadh ann an 2016, an dùil a dhol an àite sgrùdadh. Tha e air comasan logaidh a leasachadh le bhith ag atharrachadh teachdaireachdan tachartais ioma-loidhne a chruthaich siostam sgrùdaidh Linux gu bloban JSON singilte airson mion-sgrùdadh nas fhasa. Le GoAudit, gheibh thu cothrom gu dìreach air uidheamachdan ìre kernel thairis air an lìonra. A bharrachd air an sin, is urrainn dhut sìoladh tachartais as ìsle a chomasachadh air an òstair fhèin (no sìoladh gu tur a chuir dheth). Aig an aon àm, tha GoAudit na phròiseact air a dhealbhadh chan ann a-mhàin gus dèanamh cinnteach à tèarainteachd. Tha an inneal seo air a dhealbhadh mar inneal làn feart airson proifeiseantaich taic no leasachadh shiostaman. Bidh e a’ cuideachadh le bhith a’ dèiligeadh ri duilgheadasan ann am bun-structaran mòra.
Tha an siostam GoAudit sgrìobhte ann an Golang. Tha e na chànan seòrsa-sàbhailte agus àrd-choileanadh. Mus stàlaich thu GoAudit, dèan cinnteach gu bheil an dreach agad de Golang nas àirde na 1.7.
3. Grapl
Am pròiseact (Graph Analytics Platform) a ghluasad chun roinn stòr fosgailte sa Mhàrt an-uiridh. Is e àrd-ùrlar an ìre mhath ùr a th’ ann airson cùisean tèarainteachd a lorg, forensics coimpiutair a dhèanamh, agus aithisgean tachartais a ghineadh. Bidh luchd-ionnsaigh gu tric ag obair a’ cleachdadh rudeigin mar mhodail ghraf, a’ faighinn smachd air aon shiostam agus a’ sgrùdadh siostaman lìonra eile a’ tòiseachadh bhon t-siostam sin. Mar sin, tha e gu math nàdarra gum bi luchd-dìon an t-siostaim cuideachd a 'cleachdadh uidheamachd stèidhichte air modail de ghraf de cheanglaichean de shiostaman lìonra, a' toirt aire do cho sònraichte 'sa tha dàimhean eadar siostaman. Tha Grapl a’ sealltainn oidhirp air ceumannan lorg agus freagairt tachartas a chuir an gnìomh stèidhichte air modal graf seach modal log.
Bidh an inneal Grapl a’ gabhail logaichean co-cheangailte ri tèarainteachd (logaichean Sysmon no logaichean ann an cruth JSON cunbhalach) agus gan tionndadh gu fo-sgrìobhaidhean (a’ mìneachadh “dearbh-aithne” airson gach nód). Às deidh sin, bidh e a ’cothlamadh na fo-sgrìobhaidhean gu graf cumanta (Master Graph), a tha a’ riochdachadh na gnìomhan a chaidh a dhèanamh anns na h-àrainneachdan sgrùdaichte. Bidh Grapl an uairsin a’ ruith Mion-sgrùdairean air a’ ghraf a thig às a’ cleachdadh “soidhnichean neach-ionnsaigh” gus neo-riaghailteachdan agus pàtrain amharasach a chomharrachadh. Nuair a dh’ aithnicheas an anailisiche fo-sgrìobhadh amharasach, bidh Grapl a’ gineadh togalach Ceangal a thathar an dùil a sgrùdadh. Is e clas Python a th’ ann an conaltradh a ghabhas luchdachadh, mar eisimpleir, a-steach do Leabhar-nota Jupyter air a chleachdadh ann an àrainneachd AWS. Faodaidh Grapl, a bharrachd air sin, sgèile cruinneachadh fiosrachaidh àrdachadh airson sgrùdadh tachartais tro leudachadh grafa.
Ma tha thu airson tuigse nas fheàrr fhaighinn air Grapl, faodaidh tu sùil a thoirt bhidio inntinneach - clàradh de choileanadh bho BSides Las Vegas 2019.
4. OSSEC
na phròiseact a chaidh a stèidheachadh ann an 2004. Faodar am pròiseact seo, san fharsaingeachd, a chomharrachadh mar àrd-ùrlar sgrùdaidh tèarainteachd stòr fosgailte a chaidh a dhealbhadh airson mion-sgrùdadh aoigheachd agus lorg sàrachadh. Tha OSSEC air a luchdachadh sìos còrr air 500000 uair sa bhliadhna. Tha an àrd-ùrlar seo air a chleachdadh sa mhòr-chuid mar dhòigh air sàrachadh a lorg air frithealaichean. A bharrachd air an sin, tha sinn a’ bruidhinn mu dheidhinn an dà chuid siostaman ionadail agus sgòthan. Tha OSSEC cuideachd air a chleachdadh gu tric mar inneal airson sgrùdadh a dhèanamh air clàran sgrùdaidh agus anailis de bhallachan-teine, siostaman lorg sàrachaidh, frithealaichean lìn, agus cuideachd airson sgrùdadh a dhèanamh air logaichean dearbhaidh.
Bidh OSSEC a’ cothlamadh comasan Siostam Lorgaidh Sàthadh stèidhichte air Host (HIDS) le siostam Riaghladh Tachartas Tèarainteachd (SIM) agus Fiosrachadh Tèarainteachd agus Riaghladh Tachartas (SIEM). . Faodaidh OSSEC cuideachd sùil a chumail air ionracas faidhle ann an àm fìor. Bidh seo, mar eisimpleir, a’ cumail sùil air clàr Windows agus a’ lorg rootkits. Bidh OSSEC comasach air fios a chuir gu luchd-ùidh mu dhuilgheadasan a chaidh a lorg ann an àm fìor agus a’ cuideachadh le bhith a’ dèiligeadh gu sgiobalta ri bagairtean a lorgar. Bidh an àrd-ùrlar seo a’ toirt taic do Microsoft Windows agus na siostaman as ùire a tha coltach ri Unix, a’ gabhail a-steach Linux, FreeBSD, OpenBSD agus Solaris.
Tha an àrd-ùrlar OSSEC air a dhèanamh suas de bhuidheann smachd meadhanach, manaidsear, air a chleachdadh gus fiosrachadh fhaighinn bho riochdairean (prògraman beaga air an cur a-steach air na siostaman air am feumar sùil a chumail). Tha am manaidsear air a chuir a-steach air siostam Linux, a bhios a’ stòradh stòr-dàta a thèid a chleachdadh gus ionracas fhaidhlichean a dhearbhadh. Bidh e cuideachd a’ stòradh logaichean agus clàran de thachartasan agus toraidhean sgrùdadh siostam.
Tha am pròiseact OSSEC an-dràsta a’ faighinn taic bho Atomicorp. Bidh a 'chompanaidh a' cumail sùil air dreach stòr fosgailte an-asgaidh, agus, a bharrachd air sin, a 'tairgse dreach malairteach den toradh. podcast anns a bheil manaidsear pròiseict OSSEC a’ bruidhinn mun dreach as ùire den t-siostam - OSSEC 3.0. Tha e cuideachd a 'bruidhinn air eachdraidh a' phròiseict, agus mar a tha e eadar-dhealaichte bho nuadh siostaman malairteach a chleachdadh ann an achadh tèarainteachd coimpiutair.
5. meerkat
na phròiseact le còd fosgailte a tha ag amas air fuasgladh fhaighinn air prìomh dhuilgheadasan tèarainteachd coimpiutair. Gu sònraichte, tha e a’ toirt a-steach siostam lorg sàrachadh, siostam casg sàrachaidh, agus inneal sgrùdaidh tèarainteachd lìonra.
Nochd an toradh seo ann an 2009. Tha an obair aige stèidhichte air riaghailtean. Is e sin, tha cothrom aig an neach a chleachdas e cunntas a thoirt air feartan sònraichte de thrafaig lìonra. Ma thèid an riaghailt a bhrosnachadh, bidh Suricata a 'cruthachadh fios, a' bacadh no a 'cur crìoch air a' cheangal amharasach, a tha, a-rithist, an urra ris na riaghailtean ainmichte. Bidh am pròiseact cuideachd a’ toirt taic do ghnìomhachd ioma-snàthainn. Tha seo ga dhèanamh comasach àireamh mhòr de riaghailtean a phròiseasadh gu sgiobalta ann an lìonraidhean a bhios a ’giùlan mòran trafaic. Taing do thaic ioma-snàithlean, bidh frithealaiche gu tur àbhaisteach comasach air trafaic a sgrùdadh gu soirbheachail aig astar 10 Gbit / s. Anns a 'chùis seo, chan fheum an rianaire an seata de riaghailtean a thathar a' cleachdadh airson mion-sgrùdadh trafaig a chuingealachadh. Bidh Suricata cuideachd a’ toirt taic do hashing agus faighinn air ais fhaidhlichean.
Faodar Suricata a rèiteachadh gus ruith air frithealaichean cunbhalach no air innealan brìgheil, leithid AWS, a’ cleachdadh feart a chaidh a thoirt a-steach o chionn ghoirid san toradh .
Bidh am pròiseact a’ toirt taic do sgriobtaichean Lua, a dh’fhaodar a chleachdadh gus loidsig iom-fhillte agus mionaideach a chruthachadh airson a bhith a’ sgrùdadh ainmean-bagairt.
Tha am pròiseact Suricata air a stiùireadh leis an Open Information Security Foundation (OISF).
6. Zeek (Bro)
Coltach ri Suricata, (B 'e Bro an t-ainm a bh' air a 'phròiseact seo roimhe agus chaidh ath-ainmeachadh Zeek aig BroCon 2018) cuideachd na shiostam lorg sàrachaidh agus inneal sgrùdaidh tèarainteachd lìonra a lorgas neo-riaghailteachdan leithid gnìomhachd amharasach no cunnartach. Tha Zeek eadar-dhealaichte bho IDS traidiseanta leis an sin, eu-coltach ri siostaman stèidhichte air riaghailtean a lorgas eisgeachdan, bidh Zeek cuideachd a’ glacadh meata-dàta co-cheangailte ris na tha a’ tachairt air an lìonra. Tha seo air a dhèanamh gus tuigse nas fheàrr fhaighinn air co-theacsa giùlan lìonra neo-àbhaisteach. Leigidh seo, mar eisimpleir, le bhith a’ sgrùdadh gairm HTTP no an dòigh-obrach airson teisteanasan tèarainteachd iomlaid, coimhead air a’ phròtacal, aig cinn a’ phacaid, aig na h-ainmean fearainn.
Ma tha sinn a 'beachdachadh air Zeek mar inneal tèarainteachd lìonra, faodaidh sinn a ràdh gu bheil e a' toirt cothrom do eòlaiche tachartas a rannsachadh le bhith ag ionnsachadh mu na thachair ro no rè an tachartais. Bidh Zeek cuideachd ag atharrachadh dàta trafaic lìonra gu tachartasan àrd-ìre agus a’ toirt seachad comas obrachadh le eadar-theangair sgriobt. Bidh an t-eadar-theangair a’ toirt taic do chànan prògramaidh a thathas a’ cleachdadh gus eadar-obrachadh le tachartasan agus gus faighinn a-mach dè dìreach a tha na tachartasan sin a’ ciallachadh a thaobh tèarainteachd lìonra. Faodar cànan prògramadh Zeek a chleachdadh gus gnàthachadh a dhèanamh air mar a tha meata-dàta air a mhìneachadh gus freagairt air feumalachdan buidheann sònraichte. Leigidh e leat suidheachaidhean loidsigeach iom-fhillte a thogail a’ cleachdadh na gnìomhaichean AND, OR agus NOT. Bheir seo comas do luchd-cleachdaidh an dòigh anns a bheil na h-àrainneachdan aca air an sgrùdadh a ghnàthachadh. Ach, bu chòir a thoirt fa-near, an taca ri Suricata, gum faodadh Zeek a bhith a ’coimhead mar inneal caran toinnte nuair a bhios e a’ dèanamh sgrùdadh bagairt tèarainteachd.
Ma tha ùidh agad ann am barrachd fiosrachaidh mu Zeek, cuir fios gu bhidio.
7. Panther
na àrd-ùrlar cumhachdach, dùthchasach sgòthan airson sgrùdadh tèarainteachd leantainneach. Chaidh a ghluasad o chionn ghoirid gu roinn stòr fosgailte. Tha am prìomh ailtire aig tùs a’ phròiseict - fuasglaidhean airson mion-sgrùdadh logaichean fèin-ghluasadach, agus chaidh an còd fhosgladh le Airbnb. Bheir Panther aon shiostam don neach-cleachdaidh airson bagairtean a lorg sa mheadhan anns a h-uile àrainneachd agus freagairt a chuir air dòigh dhaibh. Tha an siostam seo comasach air fàs còmhla ri meud a’ bhun-structair a thathar a’ frithealadh. Tha lorg bagairtean stèidhichte air riaghailtean soilleir, cinntinneach gus nithean ceàrr agus eallach obrach neo-riatanach airson proifeiseantaich tèarainteachd a lughdachadh.
Am measg nam prìomh fheartan aig Panther tha na leanas:
- Lorgar ruigsinneachd gun chead air goireasan le bhith a’ dèanamh anailis air logaichean.
- Lorg bagairt, air a chuir an gnìomh le bhith a’ lorg logaichean airson comharran a’ nochdadh duilgheadasan tèarainteachd. Tha an rannsachadh air a dhèanamh a’ cleachdadh raointean dàta àbhaisteach Panter.
- A’ sgrùdadh an t-siostam airson gèilleadh ri inbhean SOC/PCI/HIPAA a’ cleachdadh Innealan Panther.
- Dìon na goireasan sgòthan agad le bhith a’ ceartachadh mhearachdan rèiteachaidh gu fèin-ghluasadach a dh’ fhaodadh droch dhuilgheadasan adhbhrachadh ma thèid an cleachdadh le luchd-ionnsaigh.
Tha Panther air a chleachdadh air sgòth AWS na buidhne a’ cleachdadh AWS CloudFormation. Leigidh seo leis an neach-cleachdaidh smachd a chumail air an dàta aige an-còmhnaidh.
Builean
Tha sgrùdadh tèarainteachd siostam na obair dheatamach na làithean seo. Ann a bhith a 'fuasgladh na duilgheadas seo, faodaidh companaidhean de mheud sam bith a bhith air an cuideachadh le innealan fosgailte a tha a' toirt seachad mòran chothroman agus a 'cosg cha mhòr rud sam bith no a tha an-asgaidh.
Luchd leughaidh! Dè na h-innealan sgrùdaidh tèarainteachd a bhios tu a’ cleachdadh?
Source: www.habr.com