Široka primjena računalstva u oblaku pomaže tvrtkama da povećaju svoje poslovanje. Ali korištenje novih platformi znači i pojavu novih prijetnji. Održavanje vlastitog tima unutar organizacije odgovorne za nadzor sigurnosti usluga u oblaku nije lak zadatak. Postojeći alati za praćenje su skupi i spori. Njima je, u određenoj mjeri, teško upravljati kada je u pitanju osiguranje velike infrastrukture oblaka. Kako bi svoju sigurnost u oblaku zadržali na visokoj razini, tvrtkama su potrebni moćni, fleksibilni i intuitivni alati koji nadilaze ono što je prije bilo dostupno. Tu su tehnologije otvorenog koda vrlo korisne jer pomažu uštedjeti sigurnosne proračune i kreiraju ih stručnjaci koji znaju puno o svom poslu.
Članak, čiji prijevod danas objavljujemo, donosi pregled 7 open source alata za praćenje sigurnosti cloud sustava. Ovi su alati osmišljeni za zaštitu od hakera i kibernetičkih kriminalaca otkrivanjem anomalija i nesigurnih aktivnosti.
1. Osquery
— je sustav za praćenje i analizu niske razine operacijskih sustava koji omogućuje sigurnosnim stručnjacima provođenje složene analize podataka pomoću SQL-a. Osquery okvir može se izvoditi na Linux, macOS, Windows i FreeBSD. Predstavlja operativni sustav (OS) kao visokoučinkovitu relacijsku bazu podataka. To omogućuje sigurnosnim istraživačima da istraže OS izvršavanjem SQL upita. Na primjer, upit može otkriti informacije o pokrenutim procesima, učitanim modulima kernela, otvorenim mrežnim vezama, instaliranim proširenjima preglednika, hardverskim događajima i hashevima datoteka.
Osquery framework kreirao je Facebook. Njegov kod otvoren je 2014. godine, nakon što je tvrtka shvatila da nije samo ona ta koja treba alate za praćenje mehanizama niske razine operativnih sustava. Od tada Osquery koriste stručnjaci iz tvrtki kao što su Dactiv, Google, Kolide, Trail of Bits, Uptycs i mnoge druge. Bilo je to nedavno da Linux Zaklada i Facebook planiraju osnovati fond za podršku Osqueryju.
Osqueryjev demon za nadgledanje hosta, nazvan osqueryd, omogućuje vam planiranje upita koji prikupljaju podatke iz cijele infrastrukture vaše organizacije. Daemon prikuplja rezultate upita i stvara zapise koji odražavaju promjene u stanju infrastrukture. To može pomoći sigurnosnim stručnjacima da budu u tijeku sa statusom sustava i posebno je korisno za prepoznavanje anomalija. Osqueryjeve mogućnosti agregacije dnevnika mogu se koristiti za pomoć u pronalaženju poznatog i nepoznatog zlonamjernog softvera, kao i za prepoznavanje mjesta gdje su napadači ušli u vaš sustav i pronalaženje programa koje su instalirali. Pročitajte više o otkrivanju anomalija pomoću Osqueryja.
2.GoAudit
Sistem sastoji se od dvije glavne komponente. Prvi je neki kod na razini jezgre dizajniran za presretanje i nadzor sistemskih poziva. Druga komponenta je demon korisničkog prostora tzv . Odgovoran je za zapisivanje rezultata revizije na disk. , sustav koji je stvorila tvrtka Objavljen 2016. godine, dizajniran je da zamijeni auditd. Ima poboljšane mogućnosti zapisivanja pretvaranjem višelinijske poruke o događajima koje generira sustav revizije. Linux, u pojedinačne JSON BLOB-ove, pojednostavljujući analizu. GoAudit omogućuje izravan pristup mehanizmima na razini kernela putem mreže. Također je moguće omogućiti minimalno filtriranje događaja na samom hostu (ili potpuno onemogućiti filtriranje). GoAudit nije samo sigurnosni projekt. Dizajniran je kao višenamjenski alat za stručnjake za podršku ili razvoj sustava. Pomaže u rješavanju problema u velikim infrastrukturama.
Sustav GoAudit napisan je na golang jeziku. To je jezik koji je siguran za tip i ima visoke performanse. Prije instaliranja GoAudita provjerite je li vaša verzija Golanga novija od 1.7.
3. Grapl
Projekt (Graph Analytics Platform) je u ožujku prošle godine prebačen u kategoriju otvorenog koda. To je relativno nova platforma za otkrivanje sigurnosnih problema, provođenje računalne forenzike i generiranje izvješća o incidentima. Napadači često rade koristeći nešto poput modela grafikona, preuzimajući kontrolu nad jednim sustavom i istražujući druge mrežne sustave počevši od tog sustava. Stoga je sasvim prirodno da će branitelji sustava također koristiti mehanizam koji se temelji na modelu grafa veza mrežnih sustava, uzimajući u obzir osobitosti odnosa između sustava. Grapl demonstrira pokušaj implementacije mjera otkrivanja incidenata i odgovora na temelju modela grafikona, a ne modela dnevnika.
Alat Grapl uzima zapise povezane sa sigurnošću (Sysmon zapise ili zapise u regularnom JSON formatu) i pretvara ih u podgrafove (definirajući "identitet" za svaki čvor). Nakon toga kombinira podgrafove u zajednički grafikon (Master Graph), koji predstavlja radnje koje se izvode u analiziranim okruženjima. Grapl zatim pokreće analizatore na rezultirajućem grafikonu koristeći "potpise napadača" za prepoznavanje anomalija i sumnjivih obrazaca. Kada analizator identificira sumnjivi podgraf, Grapl generira konstrukciju angažmana namijenjenu istraživanju. Engagement je Python klasa koja se može učitati, na primjer, u Jupyter Notebook implementiran u AWS okruženju. Grapl, osim toga, može povećati opseg prikupljanja informacija za istragu incidenta kroz proširenje grafikona.
Ako želite bolje razumjeti Grapl, možete pogledati zanimljiv video - snimak nastupa sa BSides Las Vegas 2019.
4. OSSEC
je projekt utemeljen 2004. godine. Ovaj se projekt općenito može okarakterizirati kao open-source sigurnosna nadzorna platforma dizajnirana za analizu hosta i detekciju upada. OSSEC se preuzima više od 500000 puta godišnje. Ova se platforma uglavnom koristi kao sredstvo za otkrivanje upada na poslužitelje. Štoviše, govorimo i o lokalnim i o cloud sustavima. OSSEC se također često koristi kao alat za ispitivanje zapisnika nadzora i analize vatrozida, sustava za otkrivanje upada, web poslužitelja, a također i za proučavanje dnevnika provjere autentičnosti.
OSSEC kombinira mogućnosti sustava za detekciju upada temeljenog na hostu (HIDS) sa sustavom za upravljanje sigurnosnim incidentima (SIM) i sustavom za upravljanje sigurnosnim informacijama i događajima (SIEM). OSSEC također ima funkciju praćenja integriteta datoteka u stvarnom vremenu, kao što je praćenje registra. Windows, otkrivanje rootkita. OSSEC može obavijestiti dionike o otkrivenim problemima u stvarnom vremenu i pomaže u brzom reagiranju na otkrivene prijetnje. Ova platforma podržava Microsoft Windows i većinu modernih Unix-sličnih sustava, uključujući Linux, FreeBSD, OpenBSD i Solaris.
OSSEC platforma sastoji se od središnjeg kontrolnog entiteta, upravitelja, koji se koristi za primanje i praćenje informacija od agenata (malih programa instaliranih na sustavima koji se prate). Upravitelj je instaliran na Linux- sustav koji pohranjuje bazu podataka koja se koristi za provjeru integriteta datoteka. Također pohranjuje zapise i zapise događaja i rezultata revizije sustava.
Projekt OSSEC trenutno podržava Atomicorp. Tvrtka nadzire besplatnu verziju otvorenog koda i, osim toga, nudi komercijalnu verziju proizvoda. podcast u kojem voditelj projekta OSSEC govori o najnovijoj verziji sustava – OSSEC 3.0. Također govori o povijesti projekta, te po čemu se razlikuje od modernih komercijalnih sustava koji se koriste u području računalne sigurnosti.
5. meerkat
je projekt otvorenog koda usmjeren na rješavanje glavnih problema računalne sigurnosti. Konkretno, uključuje sustav za otkrivanje upada, sustav za sprječavanje upada i alat za nadzor mrežne sigurnosti.
Ovaj proizvod pojavio se 2009. Njegov rad temelji se na pravilima. Odnosno, onaj tko ga koristi ima priliku opisati određene značajke mrežnog prometa. Ako se pravilo aktivira, Suricata generira obavijest, blokira ili prekida sumnjivu vezu, što opet ovisi o navedenim pravilima. Projekt također podržava rad u više niti. To omogućuje brzu obradu velikog broja pravila u mrežama koje nose velike količine prometa. Zahvaljujući multi-threading podršci, sasvim običan poslužitelj može uspješno analizirati promet koji se kreće brzinom od 10 Gbit/s. U tom slučaju administrator ne mora ograničiti skup pravila koja se koriste za analizu prometa. Suricata također podržava hashiranje i dohvaćanje datoteka.
Suricata se može konfigurirati za rad na redovnim poslužiteljima ili na virtualnim strojevima, kao što je AWS, koristeći nedavno uvedenu značajku u proizvodu .
Projekt podržava Lua skripte koje se mogu koristiti za stvaranje složene i detaljne logike za analizu potpisa prijetnji.
Projektom Suricata upravlja Open Information Security Foundation (OISF).
6. Zeek (brato)
Kao Suricata, (ovaj se projekt ranije zvao Bro, a na BroConu 2018. preimenovan u Zeek) također je sustav za otkrivanje upada i alat za nadzor mrežne sigurnosti koji može otkriti anomalije poput sumnjivih ili opasnih aktivnosti. Zeek se razlikuje od tradicionalnog IDS-a po tome što, za razliku od sustava temeljenih na pravilima koji otkrivaju iznimke, Zeek također bilježi metapodatke povezane s onim što se događa na mreži. To se radi kako bi se bolje razumio kontekst neobičnog mrežnog ponašanja. To omogućuje, na primjer, analizom HTTP poziva ili postupka za razmjenu sigurnosnih certifikata, uvid u protokol, u zaglavlja paketa, u nazive domena.
Ako Zeek smatramo alatom za mrežnu sigurnost, onda možemo reći da stručnjaku daje mogućnost da istraži incident saznajući što se dogodilo prije ili tijekom incidenta. Zeek također pretvara podatke o mrežnom prometu u događaje visoke razine i pruža mogućnost rada s tumačem skripti. Interpretator podržava programski jezik koji se koristi za interakciju s događajima i za određivanje što točno ti događaji znače u smislu mrežne sigurnosti. Programski jezik Zeek može se koristiti za prilagodbu interpretacije metapodataka u skladu s potrebama određene organizacije. Omogućuje vam izradu složenih logičkih uvjeta pomoću operatora AND, OR i NOT. To korisnicima daje mogućnost da prilagode kako se njihova okruženja analiziraju. Međutim, valja napomenuti da se Zeek u usporedbi sa Suricatom može činiti prilično složenim alatom prilikom izviđanja sigurnosnih prijetnji.
Ako ste zainteresirani za više detalja o Zeeku, obratite se Video.
7. Pantera
je moćna platforma izvorno izvorna u oblaku za kontinuirani nadzor sigurnosti. Nedavno je prebačen u kategoriju otvorenog koda. Glavni arhitekt je na početku projekta — rješenja za automatsku analizu dnevnika čiji je kod otvorio Airbnb. Panther korisniku daje jedinstven sustav za centralizirano otkrivanje prijetnji u svim okruženjima i organiziranje odgovora na njih. Ovaj sustav može rasti zajedno s veličinom infrastrukture koja se opslužuje. Otkrivanje prijetnji temelji se na transparentnim, determinističkim pravilima kako bi se smanjili lažni pozitivni rezultati i nepotrebno opterećenje sigurnosnih stručnjaka.
Među glavnim značajkama Panthera su sljedeće:
- Otkrivanje neovlaštenog pristupa resursima analizom zapisa.
- Otkrivanje prijetnji, implementirano pretraživanjem dnevnika za indikatore koji ukazuju na sigurnosne probleme. Pretraživanje se provodi pomoću Panterovih standardiziranih podatkovnih polja.
- Provjera sukladnosti sustava sa SOC/PCI/HIPAA standardima pomoću Panther mehanizmi.
- Zaštitite svoje resurse u oblaku automatskim ispravljanjem konfiguracijskih pogrešaka koje bi mogle uzrokovati ozbiljne probleme ako ih napadači iskoriste.
Panther je postavljen na AWS oblaku organizacije koristeći AWS CloudFormation. To omogućuje korisniku da uvijek ima kontrolu nad svojim podacima.
Rezultati
Praćenje sigurnosti sustava kritičan je zadatak ovih dana. U rješavanju ovog problema tvrtkama bilo koje veličine mogu pomoći alati otvorenog koda koji pružaju puno mogućnosti, a ne koštaju gotovo ništa ili su besplatni.
Dragi čitatelji! Koje alate za nadzor sigurnosti koristite?
Izvor: www.habr.com
