ProHoster > Blog > Administrasyon an > 7 zouti sous louvri pou kontwole sekirite sistèm nwaj yo ki vo konnen sou yo

7 zouti sous louvri pou kontwole sekirite sistèm nwaj yo ki vo konnen sou yo

Adopsyon toupatou nan cloud computing ede konpayi yo echèl biznis yo. Men, itilizasyon nouvo platfòm vle di tou Aparisyon nouvo menas. Kenbe pwòp ekip ou nan yon òganizasyon ki responsab pou kontwole sekirite sèvis nwaj yo se pa yon travay fasil. Zouti siveyans ki egziste deja yo chè ak dousman. Yo, nan yon sèten mezi, difisil pou jere lè li rive sekirize enfrastrikti nwaj gwo echèl. Pou kenbe sekirite nwaj yo nan yon wo nivo, konpayi yo bezwen zouti pwisan, fleksib ak entwisyon ki ale pi lwen pase sa ki te disponib anvan. Sa a se kote teknoloji sous louvri yo vin trè itil, ede ekonomize bidjè sekirite ak ke yo te kreye pa espesyalis ki konnen anpil sou biznis yo.

7 zouti sous louvri pou kontwole sekirite sistèm nwaj yo ki vo konnen sou yo

Atik la, tradiksyon ke nou ap pibliye jodi a, bay yon apèsi sou 7 zouti sous louvri pou kontwole sekirite sistèm nwaj yo. Zouti sa yo fèt pou pwoteje kont entru ak sibèrkriminèl lè yo detekte anomali ak aktivite ki pa an sekirite.

1. Osquery

Osquery se yon sistèm pou siveyans ba nivo ak analiz de sistèm operasyon ki pèmèt pwofesyonèl sekirite yo fè min done konplèks lè l sèvi avèk SQL. Fondasyon Osquery a ka kouri sou Linux, macOS, Windows ak FreeBSD. Li reprezante sistèm operasyon (OS) kòm yon baz done relasyon wo-pèfòmans. Sa a pèmèt espesyalis sekirite yo egzamine eksplwatasyon an lè yo kouri demann SQL. Pou egzanp, lè l sèvi avèk yon rechèch, ou ka jwenn enfòmasyon sou pwosesis kouri, modil nwayo chaje, koneksyon rezo louvri, ekstansyon navigatè enstale, evènman pyès ki nan konpitè, ak hash fichye.

Fondasyon Osquery te kreye pa Facebook. Kòd li yo te louvri sous an 2014, apre konpayi an reyalize ke li pa t 'sèlman tèt li ki te bezwen zouti pou kontwole mekanis yo ki ba nan sistèm opere. Depi lè sa a, espesyalis nan konpayi tankou Dactiv, Google, Kolide, Trail of Bits, Uptycs ak anpil lòt moun te itilize Osquery. Li te dènyèman te anonse ke Fondasyon Linux ak Facebook pral fòme yon fon pou sipòte Osquery.

Daemon siveyans lame Osquery a, ki rele osqueryd, pèmèt ou planifye demann ki kolekte done atravè enfrastrikti òganizasyon w lan. Demon an kolekte rezilta rechèch epi kreye mòso bwa ki reflete chanjman nan eta enfrastrikti a. Sa a ka ede pwofesyonèl sekirite yo rete okouran de estati sistèm lan epi li itil espesyalman pou idantifye anomali yo. Kapasite agrÊgation log Osquery a ka itilize pou ede w jwenn malveyan li te ye ak enkoni, epi tou pou idantifye kote atakè yo te antre nan sistèm ou a epi jwenn ki pwogram yo te enstale. Isit la Li plis sou deteksyon anomali lè l sèvi avèk Osquery.

2.GoAudit

Sistèm Odit Linux konsiste de de eleman prensipal yo. Premye a se kèk kòd nan nivo nwayo ki fèt pou entèsepte ak kontwole apèl sistèm yo. Dezyèm eleman an se yon demon espas itilizatè yo rele auditd. Li responsab pou ekri rezilta odit sou disk. GoAudit, yon sistèm kreye pa konpayi an Kanson ak lage nan 2016, gen entansyon ranplase auditd. Li te amelyore kapasite antre nan konvèti mesaj evènman milti-liy ki te pwodwi pa sistèm odit Linux la nan yon sèl tach JSON pou analiz pi fasil. Avèk GoAudit, ou ka jwenn aksè dirèkteman nan mekanis nivo nwayo sou rezo a. Anplis de sa, ou ka pèmèt filtraj evènman minim sou lame a li menm (oswa konplètman enfim filtraj). An menm tan an, GoAudit se yon pwojè ki fèt pa sèlman pou asire sekirite. Zouti sa a fèt kòm yon zouti ki gen anpil karakteristik pou sipò sistèm oswa pwofesyonèl devlopman. Li ede konbat pwoblèm nan enfrastrikti gwo echèl.

Sistèm GoAudit ekri an Golang. Li se yon lang ki san danje epi ki gen gwo pèfòmans. Anvan w enstale GoAudit, tcheke si vèsyon ou Golang pi wo pase 1.7.

3. Grapl

Pwojè Grapl (Graph Analytics Platform) te transfere nan kategori sous louvri nan mwa mas ane pase a. Li se yon platfòm relativman nouvo pou detekte pwoblèm sekirite, fè analiz legal òdinatè, ak jenere rapò ensidan. Atakè yo souvan travay lè l sèvi avèk yon bagay tankou yon modèl graf, pran kontwòl yon sèl sistèm ak eksplore lòt sistèm rezo kòmanse nan sistèm sa a. Se poutèt sa, li se byen natirèl ke defansè sistèm yo pral itilize tou yon mekanis ki baze sou yon modèl nan yon graf nan koneksyon nan sistèm rezo, pran an kont sengularite yo nan relasyon ant sistèm yo. Grapl demontre yon tantativ pou aplike deteksyon ensidan ak mezi repons ki baze sou yon modèl graf olye ke yon modèl log.

Zouti Grapl la pran mòso bwa ki gen rapò ak sekirite (mòso bwa Symon oswa mòso bwa nan fòma JSON regilye) epi konvèti yo an subgraf (ki defini yon "idantite" pou chak ne). Apre sa, li konbine subgraf yo nan yon graf komen (Master Graph), ki reprezante aksyon yo fèt nan anviwònman yo analize. Lè sa a, Grapl kouri analizeur sou graf ki kapab lakòz lè l sèvi avèk "siyati atakè yo" pou idantifye anomali ak modèl sispèk. Lè analizè a idantifye yon subgraf ki sispèk, Grapl jenere yon konstriksyon Engagement ki fèt pou envestigasyon. Angajman se yon klas Python ki ka chaje, pou egzanp, nan yon kaye Jupyter deplwaye nan anviwònman AWS. Grapl, anplis, ka ogmante echèl koleksyon enfòmasyon pou envestigasyon ensidan atravè ekspansyon graf.

Si ou vle pi byen konprann Grapl, ou ka pran yon gade sa a videyo enteresan - anrejistreman yon pèfòmans nan BSides Las Vegas 2019.

4. OSSEC

OSSEC se yon pwojè ki te fonde an 2004. Pwojè sa a, an jeneral, ka karakterize kòm yon platfòm siveyans sekirite sous louvri ki fèt pou analiz lame ak deteksyon entrizyon. OSSEC telechaje plis pase 500000 fwa pa ane. Platfòm sa a itilize sitou kòm yon mwayen pou detekte entrizyon sou serveurs. Anplis, nou ap pale de sistèm lokal ak nwaj. OSSEC souvan itilize tou kòm yon zouti pou egzamine siveyans ak analiz mòso bwa pare-feu, sistèm deteksyon entrizyon, sèvè entènèt, epi tou pou etidye mòso otantifikasyon.

OSSEC konbine kapasite yon Sistèm deteksyon entrizyon ki baze sou lame (HIDS) ak yon sistèm Jesyon Ensidan Sekirite (SIM) ak Sistèm Enfòmasyon Sekirite ak Jesyon Evènman (SIEM). OSSEC kapab tou kontwole entegrite dosye an tan reyèl. Sa a, pou egzanp, kontwole rejis Windows la ak detekte routki. OSSEC kapab notifye moun ki gen enterè yo sou pwoblèm yo detekte an tan reyèl epi li ede byen vit reponn a menas detekte yo. Platfòm sa a sipòte Microsoft Windows ak sistèm ki pi modèn tankou Unix, tankou Linux, FreeBSD, OpenBSD ak Solaris.

Platfòm OSSEC a konsiste de yon antite santral kontwòl, yon manadjè, ki itilize pou resevwa ak kontwole enfòmasyon nan men ajan yo (ti pwogram ki enstale sou sistèm yo ki bezwen kontwole). Manadjè a enstale sou yon sistèm Linux, ki estoke yon baz done yo itilize pou tcheke entegrite dosye yo. Li tou estoke mòso bwa ak dosye evènman yo ak rezilta odit sistèm yo.

Pwojè OSSEC a kounye a sipòte pa Atomicorp. Konpayi an sipèvize yon vèsyon sous louvri gratis, epi, anplis, ofri elaji vèsyon komèsyal nan pwodwi a. Isit la podcast kote manadjè pwojè OSSEC pale sou dènye vèsyon sistèm lan - OSSEC 3.0. Li pale tou sou istwa a nan pwojè a, ak ki jan li diferan de sistèm modèn komèsyal yo itilize nan jaden an nan sekirite òdinatè.

5. meerkat

Meerkat se yon pwojè sous louvri ki konsantre sou rezoud pwoblèm prensipal yo nan sekirite òdinatè. An patikilye, li gen ladann yon sistèm deteksyon entrizyon, yon sistèm prevansyon entrizyon, ak yon zouti siveyans sekirite rezo.

Pwodwi sa a te parèt an 2009. Travay li baze sou règ. Sa vle di, moun ki sèvi ak li gen opòtinite pou dekri sèten karakteristik nan trafik rezo a. Si règ la deklanche, Suricata jenere yon notifikasyon, bloke oswa mete fen nan koneksyon an sispèk, ki, ankò, depann sou règ yo espesifye. Pwojè a sipòte tou operasyon milti-threaded. Sa fè li posib byen vit trete yon gwo kantite règ nan rezo ki pote gwo volim nan trafik. Mèsi a sipò milti-threading, yon sèvè konplètman òdinè kapab analize avèk siksè trafik vwayaje nan yon vitès 10 Gbit / s. Nan ka sa a, administratè a pa oblije limite seri règ yo itilize pou analiz trafik la. Suricata sipòte tou hachage ak rekipere dosye.

Suricata ka konfigirasyon pou kouri sou sèvè regilye oswa sou machin vityèl, tankou AWS, lè l sèvi avèk yon karakteristik ki fèk prezante nan pwodwi a. siveyans trafik.

Pwojè a sipòte scripts Lua, ki ka itilize pou kreye lojik konplèks ak detaye pou analize siyati menas yo.

Se Open Information Security Foundation (OISF) ki jere pwojè Suricata a.

6. Zeek (Bro)

Tankou Suricata, Zeek (pwojè sa a te rele ansyen Bro e li te chanje non Zeek nan BroCon 2018) se tou yon sistèm deteksyon entrizyon ak zouti siveyans sekirite rezo ki ka detekte anomali tankou aktivite sispèk oswa danjere. Zeek diferan de IDS tradisyonèl yo paske, kontrèman ak sistèm ki baze sou règ ki detekte eksepsyon, Zeek tou kaptire metadata ki asosye ak sa k ap pase sou rezo a. Sa a se fè yo nan lòd yo pi byen konprann kontèks la nan konpòtman rezo etranj. Sa a pèmèt, pou egzanp, lè w analize yon apèl HTTP oswa pwosedi pou fè echanj sètifika sekirite, gade nan pwotokòl la, nan tèt pake yo, nan non domèn yo.

Si nou konsidere Zeek kòm yon zouti sekirite rezo, Lè sa a, nou ka di ke li bay yon espesyalis opòtinite pou mennen ankèt sou yon ensidan lè li aprann sou sa ki te pase anvan oswa pandan ensidan an. Zeek tou konvèti done trafik rezo a nan evènman wo nivo epi li bay kapasite pou travay avèk yon entèprèt script. Entèprèt la sipòte yon langaj pwogramasyon ki itilize pou kominike avèk evènman yo epi pou konnen ki sa egzakteman evènman sa yo vle di an tèm de sekirite rezo a. Yo ka itilize langaj pwogram Zeek pou personnaliser fason yo entèprete metadata pou satisfè bezwen yon òganizasyon espesifik. Li pèmèt ou bati kondisyon lojik konplèks lè l sèvi avèk operatè yo AND, OR and NOT. Sa a bay itilizatè yo kapasite pou yo Customize fason yo analize anviwònman yo. Sepandan, li ta dwe remake ke, an konparezon ak Suricata, Zeek ka sanble tankou yon zouti olye konplèks lè w ap fè rekonesans menas sekirite.

Si w enterese nan plis detay sou Zeek, tanpri kontakte sa a videyo.

7. Panther

Panther se yon platfòm pwisan, natif natal nwaj-natif pou siveyans sekirite kontinyèl. Li te fèk konvèti nan sous louvri. Achitèk prensipal la se nan orijin pwojè a StreamAlert — solisyon pou analiz otomatik boutèy demi lit, kòd ki te louvri pa Airbnb. Panther bay itilizatè a yon sèl sistèm pou santralman detekte menas nan tout anviwònman ak òganize yon repons pou yo. Sistèm sa a kapab grandi ansanm ak gwosè enfrastrikti y ap sèvi a. Deteksyon menas baze sou règ transparan, detèminist pou diminye fo pozitif ak kantite travay ki pa nesesè pou pwofesyonèl sekirite yo.

Pami karakteristik prensipal yo nan Panther yo se sa ki annapre yo:

  • Deteksyon aksè san otorizasyon nan resous pa analize mòso bwa.
  • Deteksyon menas, aplike nan rechèch mòso bwa pou endikatè ki endike pwoblèm sekirite. Rechèch la fèt lè l sèvi avèk jaden done estanda Panter yo.
  • Tcheke sistèm nan pou konfòmite ak estanda SOC/PCI/HIPAA lè l sèvi avèk bati-an Panther mekanis.
  • Pwoteje resous nwaj ou yo pa otomatikman korije erè konfigirasyon ki ta ka lakòz pwoblèm grav si atakè yo eksplwate yo.

Panther deplwaye sou nwaj AWS yon òganizasyon lè l sèvi avèk AWS CloudFormation. Sa a pèmèt itilizatè a toujou kontwole done li yo.

Rezilta

Siveyans sekirite sistèm se yon travay kritik jou sa yo. Nan rezoud pwoblèm sa a, konpayi yo nan nenpòt gwosè ka ede pa zouti sous louvri ki bay anpil opòtinite ak koute prèske anyen oswa yo gratis.

Chè lektè! Ki zouti siveyans sekirite ou itilize?

7 zouti sous louvri pou kontwole sekirite sistèm nwaj yo ki vo konnen sou yo

Sous: www.habr.com