Yaɗuwar ƙididdigar girgije yana taimaka wa kamfanoni haɓaka kasuwancin su. Amma amfani da sabbin hanyoyin sadarwa kuma yana nufin bullar sabbin barazana. Tsayar da ƙungiyar ku a cikin ƙungiyar da ke da alhakin kula da tsaron ayyukan girgije ba abu ne mai sauƙi ba. Kayan aikin sa ido na yanzu suna da tsada da jinkiri. Suna da wuyar sarrafawa idan aka zo batun kiyaye manyan kayan aikin girgije. Don kiyaye tsaron girgijen su a babban matakin, kamfanoni suna buƙatar kayan aiki masu ƙarfi, sassauƙa, da ilhama waɗanda suka wuce abin da ake samu a baya. Wannan shi ne inda fasahar buɗaɗɗen tushe ta zo da amfani sosai, suna taimakawa wajen adana kasafin kuɗi na tsaro kuma ƙwararrun masana waɗanda suka san abubuwa da yawa game da kasuwancin su ke ƙirƙira su.
Labarin, fassarar da muke bugawa a yau, yana ba da bayyani na kayan aikin buɗaɗɗen tushe guda 7 don saka idanu kan tsaro na tsarin girgije. An tsara waɗannan kayan aikin don karewa daga masu satar bayanai da masu aikata laifuka ta yanar gizo ta hanyar gano abubuwan da ba su da kyau da kuma ayyuka marasa aminci.
1. Matsala
tsari ne don ƙananan matakan saka idanu da kuma nazarin tsarin aiki wanda ke ba da damar kwararrun tsaro don gudanar da ma'adinan bayanai masu rikitarwa ta amfani da SQL. Tsarin Osquery na iya aiki akan Linux, macOS, Windows da FreeBSD. Yana wakiltar tsarin aiki (OS) a matsayin babban mahimmin bayanai na alaƙa. Wannan yana ba ƙwararrun tsaro damar bincika OS ta hanyar gudanar da tambayoyin SQL. Misali, ta amfani da tambaya, zaku iya nemo game da tafiyar matakai, ƙwanƙwasa ƙwaya, buɗaɗɗen haɗin yanar gizo, shigar da kari mai bincike, abubuwan abubuwan hardware, da hashes fayil.
Facebook ne ya kirkiro tsarin Osquery. An buɗe lambar ta a cikin 2014, bayan da kamfanin ya gane cewa ba ita kaɗai ce ke buƙatar kayan aiki don saka idanu kan ƙananan matakan tsarin aiki ba. Tun daga wannan lokacin, ƙwararrun masana daga kamfanoni kamar Dactiv, Google, Kolide, Trail of Bits, Uptycs, da sauransu ke amfani da Osquery. Kwanan nan ne cewa Linux Foundation da Facebook za su samar da asusu don tallafawa Osquery.
Osquery's host monitoring daemon, wanda ake kira osqueryd, yana ba ku damar tsara tambayoyin da ke tattara bayanai daga ko'ina cikin kayan aikin ƙungiyar ku. Daemon yana tattara sakamakon tambaya kuma ya ƙirƙiri rajistan ayyukan da ke nuna canje-canje a yanayin abubuwan more rayuwa. Wannan zai iya taimakawa ƙwararrun tsaro su san matsayin tsarin kuma yana da amfani musamman don gano abubuwan da ba su da kyau. Za a iya amfani da damar tattara log ɗin Osquery don taimaka muku gano sanannun malware da ba a san ku ba, da kuma gano inda maharan suka shiga tsarin ku da gano irin shirye-shiryen da suka shigar. Kara karantawa game da gano rashin lafiya ta amfani da Osquery.
2. GoAudit
tsarin ya ƙunshi manyan abubuwa guda biyu. Na farko shine wasu lambar matakin kernel da aka ƙera don tsangwama da saka idanu akan kiran tsarin. Bangare na biyu shine mai amfani da sararin samaniya da ake kira daemon . Ita ce ke da alhakin rubuta sakamakon binciken zuwa faifai. , tsarin da kamfani ya kirkira kuma an sake shi a cikin 2016, wanda aka yi niyya don maye gurbin dubawa. Ya inganta iyawar shiga ta hanyar canza saƙon taron layukan layi da yawa waɗanda tsarin tantancewar Linux ke samarwa zuwa ɓangarorin JSON guda ɗaya don sauƙin bincike. Tare da GoAudit, zaku iya samun dama ga hanyoyin matakan kernel kai tsaye akan hanyar sadarwa. Bugu da kari, zaku iya kunna tacewa kadan akan mai masaukin baki da kanta (ko kashe tacewa gaba daya). A lokaci guda, GoAudit wani aiki ne da aka tsara ba don tabbatar da tsaro kawai ba. An tsara wannan kayan aiki azaman kayan aiki mai arziƙi don tallafin tsarin ko ƙwararrun ci gaba. Yana taimakawa magance matsaloli a cikin manyan abubuwan more rayuwa.
An rubuta tsarin GoAudit a cikin Golang. Yare ne mai aminci da inganci. Kafin shigar da GoAudit, duba cewa sigar Golang naku ya fi 1.7.
3. Gwarzo
Wannan aikin (Graph Analytics Platform) an canza shi zuwa buɗaɗɗen nau'in tushe a cikin Maris ɗin bara. Wani sabon dandali ne don gano al'amuran tsaro, gudanar da binciken kwamfyuta, da samar da rahotannin abubuwan da suka faru. Maharan sukan yi aiki ta amfani da wani abu kamar samfurin jadawali, samun iko da tsarin guda ɗaya da kuma bincika sauran tsarin sadarwar da suka fara daga wannan tsarin. Don haka, abu ne na halitta cewa masu kare tsarin suma za su yi amfani da wani tsari bisa tsarin jadawali na hanyoyin sadarwa, tare da la'akari da bambance-bambancen dangantaka tsakanin tsarin. Grapl yana nuna ƙoƙarin aiwatar da gano abin da ya faru da matakan mayar da martani bisa tsarin jadawali maimakon tsarin log.
Kayan aiki na Grapl yana ɗaukar rajistan ayyukan da ke da alaƙa da tsaro (Sysmon rajistan ayyukan ko rajistan ayyukan a cikin tsarin JSON na yau da kullun) kuma yana jujjuya su cikin ƙananan bayanai (ma'anar "shaida" ga kowane kumburi). Bayan haka, yana haɗa ƙananan bayanai zuwa jadawali gama gari (Master Graph), wanda ke wakiltar ayyukan da aka yi a cikin mahallin da aka bincika. Daga nan sai Grapl ya gudanar da Analyzers akan jadawali da aka samu ta amfani da "sa hannun maharan" don gano abubuwan da ba su dace ba da kuma alamu masu shakku. Lokacin da mai nazarin ya gano wani ƙaramin abu mai tuhuma, Grapl yana haifar da ginin haɗin gwiwa wanda aka yi niyya don bincike. Haɗin kai wani aji ne na Python wanda za'a iya lodawa, alal misali, cikin Littafin Rubutun Jupyter wanda aka tura a cikin yanayin AWS. Grapl, ƙari, na iya ƙara ma'aunin tattara bayanai don binciken abin da ya faru ta hanyar faɗaɗa hoto.
Idan kuna son ƙarin fahimtar Grapl, zaku iya dubawa bidiyo mai ban sha'awa - rikodin wasan kwaikwayo daga BSides Las Vegas 2019.
4. OSSEC
wani aiki ne da aka kafa a shekara ta 2004. Wannan aikin, gabaɗaya, ana iya siffanta shi azaman dandamalin sa ido na tsaro na buɗe ido wanda aka tsara don binciken rundunar da gano kutse. Ana sauke OSSEC fiye da sau 500000 a kowace shekara. Ana amfani da wannan dandali musamman a matsayin hanyar gano kutse akan sabar. Bugu da ƙari, muna magana ne game da tsarin gida da na girgije. Hakanan ana amfani da OSSEC azaman kayan aiki don bincika rajistan ayyukan sa ido da bincike na Firewalls, tsarin gano kutse, sabar yanar gizo, da kuma don nazarin rajistan ayyukan.
OSSEC ta haɗu da damar Tsarin Gane Kutse na Mai watsa shiri (HIDS) tare da Gudanar da Hatsarin Tsaro (SIM) da Tsarin Bayanin Tsaro da Gudanar da Taron (SIEM). . OSSEC kuma na iya saka idanu kan amincin fayil a ainihin lokacin. Wannan, alal misali, yana saka idanu akan rajistar Windows kuma yana gano tushen rootkits. OSSEC na iya sanar da masu ruwa da tsaki game da matsalolin da aka gano a ainihin lokacin kuma yana taimakawa wajen amsa barazanar da aka gano cikin sauri. Wannan dandali yana goyan bayan Microsoft Windows da galibin tsarin Unix na zamani, gami da Linux, FreeBSD, OpenBSD da Solaris.
Dandalin OSSEC ya ƙunshi cibiyar kulawa ta tsakiya, mai sarrafa, wanda ake amfani dashi don karɓa da saka idanu bayanai daga wakilai (kananan shirye-shiryen da aka sanya akan tsarin da ake buƙatar kulawa). An shigar da manajan akan tsarin Linux, wanda ke adana bayanan da ake amfani da su don bincika amincin fayiloli. Hakanan yana adana rajistan ayyukan da bayanan abubuwan da suka faru da sakamakon binciken tsarin.
A halin yanzu ana tallafawa aikin OSSEC daga Atomicorp. Kamfanin yana kula da sigar buɗe tushen kyauta, kuma, ƙari, tayi sigar kasuwanci na samfurin. Podcast wanda Manajan aikin OSSEC yayi magana game da sabon sigar tsarin - OSSEC 3.0. Har ila yau, ya yi magana kan tarihin aikin, da kuma yadda ya bambanta da tsarin kasuwanci na zamani da ake amfani da shi a fannin tsaro na kwamfuta.
5. makanta
wani budaddiyar aiki ne da aka mayar da hankali kan magance manyan matsalolin tsaro na kwamfuta. Musamman ma, ya haɗa da tsarin gano kutse, tsarin rigakafin kutse, da kayan aikin tsaro na cibiyar sadarwa.
Wannan samfurin ya bayyana a cikin 2009. Ayyukansa sun dogara ne akan dokoki. Wato wanda ke amfani da shi yana da damar bayyana wasu fasalulluka na zirga-zirgar hanyar sadarwa. Idan an kunna ƙa'idar, Suricata ta haifar da sanarwa, toshewa ko ƙare haɗin da ake tuhuma, wanda, sake, ya dogara da ƙayyadaddun ƙayyadaddun ƙa'idodi. Har ila yau, aikin yana goyan bayan aiki mai zaren yawa. Wannan yana ba da damar yin saurin aiwatar da ƙa'idodi masu yawa a cikin cibiyoyin sadarwa waɗanda ke ɗaukar manyan ɗimbin zirga-zirga. Godiya ga tallafin zare da yawa, sabar talakawa gabaɗaya tana iya yin nasarar nazarin zirga-zirgar zirga-zirga a cikin gudun 10 Gbit/s. A wannan yanayin, mai gudanarwa ba dole ba ne ya iyakance ka'idojin da aka yi amfani da su don nazarin zirga-zirga. Suricata kuma tana goyan bayan hashing da dawo da fayil.
Ana iya saita Suricata don gudana akan sabar na yau da kullun ko akan injunan kama-da-wane, kamar AWS, ta amfani da fasalin da aka gabatar kwanan nan a cikin samfurin. .
Aikin yana goyan bayan rubutun Lua, waɗanda za a iya amfani da su don ƙirƙirar hadaddun dabaru da cikakkun bayanai don nazarin sa hannun barazana.
Buɗaɗɗen Tsaron Tsaro Foundation (OISF) ne ke gudanar da aikin Suricata.
6. Zaki (Bro)
Kamar Suricata, (wannan aikin a da ana kiransa Bro kuma an sake masa suna Zeek a BroCon 2018) kuma tsarin gano kutse ne da kayan aikin sa ido kan tsaro na hanyar sadarwa wanda zai iya gano abubuwan da ba su dace ba kamar ayyukan tuhuma ko haɗari. Zeek ya bambanta da IDS na gargajiya a cikin wancan, sabanin tsarin tushen ƙa'ida wanda ke gano keɓantacce, Zeek kuma yana ɗaukar metadata masu alaƙa da abin da ke faruwa akan hanyar sadarwa. Anyi wannan don ƙara fahimtar mahallin halayen cibiyar sadarwar da ba a saba gani ba. Wannan yana ba da damar, misali, ta hanyar nazarin kiran HTTP ko tsarin musayar takaddun shaida, don duba ƙa'idar, a kan fakiti, a cikin sunayen yanki.
Idan muka yi la'akari da Zeek a matsayin kayan aikin tsaro na cibiyar sadarwa, to za mu iya cewa yana ba ƙwararren damar bincika wani lamari ta hanyar koyo game da abin da ya faru kafin ko lokacin abin da ya faru. Zeek kuma yana canza bayanan zirga-zirgar hanyar sadarwa zuwa manyan abubuwan da suka faru kuma yana ba da ikon yin aiki tare da mai fassarar rubutun. Mai fassarar yana goyan bayan yaren shirye-shirye wanda ake amfani dashi don hulɗa tare da abubuwan da suka faru da kuma gano ainihin abin da waɗannan abubuwan ke nufi dangane da tsaro na cibiyar sadarwa. Za a iya amfani da yaren shirye-shirye na Zeek don tsara yadda ake fassara metadata don dacewa da takamaiman bukatun kungiya. Yana ba ku damar gina hadaddun yanayin ma'ana ta amfani da AND, OR kuma BA masu aiki ba. Wannan yana ba masu amfani damar tsara yadda ake tantance mahallin su. Duk da haka, ya kamata a lura cewa, idan aka kwatanta da Suricata, Zeek na iya zama kamar kayan aiki mai wuyar gaske yayin gudanar da binciken barazanar tsaro.
Idan kuna sha'awar ƙarin cikakkun bayanai game da Zeek, tuntuɓi bidiyo.
7. Panther
dandamali ne mai ƙarfi, na asali na gajimare don ci gaba da sa ido kan tsaro. Kwanan nan an canza shi zuwa rukunin buɗe tushen. Babban gine-ginen yana a asalin aikin - mafita don bincike na log na atomatik, lambar wacce Airbnb ta buɗe. Panther yana ba mai amfani tsarin guda ɗaya don gano barazanar tsaka-tsaki a duk mahalli da kuma tsara martani gare su. Wannan tsarin yana iya girma tare da girman kayan aikin da ake yi. Gano barazanar ya dogara ne akan gaskiya, ƙayyadaddun ƙa'idodin ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun ƙayyadaddun bayanai da kuma aikin da ba dole ba ga masu sana'a na tsaro.
Daga cikin manyan fasalulluka na Panther sune kamar haka:
- Gano damar samun albarkatu mara izini ta hanyar nazarin rajistan ayyukan.
- Gano barazanar, aiwatarwa ta hanyar bincika rajistan ayyukan alamomi masu nuna matsalolin tsaro. Ana gudanar da binciken ne ta amfani da daidaitattun filayen bayanai na Panter.
- Duba tsarin don bin ka'idodin SOC/PCI/HIPAA ta amfani da Hanyoyin Panther.
- Kare albarkatun girgijen ku ta hanyar gyara kurakuran daidaitawa ta atomatik wanda zai iya haifar da matsala mai tsanani idan maharan suka yi amfani da su.
Ana tura Panther akan girgijen AWS na ƙungiyar ta amfani da AWS CloudFormation. Wannan yana ba mai amfani damar kasancewa koyaushe yana sarrafa bayanansa.
Sakamakon
Tsaron tsarin sa ido muhimmin aiki ne a kwanakin nan. A cikin warware wannan matsala, kamfanoni na kowane girman za a iya taimakawa ta hanyar kayan aikin budewa waɗanda ke ba da dama mai yawa kuma suna kusan komai ko kyauta.
Ya ku masu karatu! Wadanne kayan aikin tsaro kuke amfani da su?
source: www.habr.com
