Cloud computing-ի համատարած ընդունումն օգնում է ընկերություններին մեծացնել իրենց բիզնեսը: Բայց նոր հարթակների օգտագործումը նշանակում է նաև նոր սպառնալիքների ի հայտ գալ։ Ամպային ծառայությունների անվտանգության մոնիտորինգի համար պատասխանատու կազմակերպությունում ձեր սեփական թիմը պահելը հեշտ գործ չէ: Մոնիտորինգի գոյություն ունեցող գործիքները թանկ են և դանդաղ: Դրանք, որոշ չափով, դժվար է կառավարել, երբ խոսքը վերաբերում է լայնածավալ ամպային ենթակառուցվածքի ապահովմանը: Իրենց ամպային անվտանգությունը բարձր մակարդակի վրա պահելու համար ընկերություններին անհրաժեշտ են հզոր, ճկուն և ինտուիտիվ գործիքներ, որոնք գերազանցում են նախկինում հասանելիը: Այստեղ շատ օգտակար են բաց կոդով տեխնոլոգիաները, որոնք օգնում են խնայել անվտանգության բյուջեները և ստեղծվել են մասնագետների կողմից, ովքեր շատ բան գիտեն իրենց բիզնեսի մասին:
Հոդվածը, որի թարգմանությունը մենք հրապարակում ենք այսօր, ներկայացնում է ամպային համակարգերի անվտանգության մոնիտորինգի համար բաց կոդով 7 գործիքների ակնարկ։ Այս գործիքները նախատեսված են հաքերներից և կիբերհանցագործներից պաշտպանվելու համար՝ հայտնաբերելով անոմալիաներ և վտանգավոր գործողություններ:
1. Զնգում
Օպերացիոն համակարգերի ցածր մակարդակի մոնիտորինգի և վերլուծության համակարգ է, որը թույլ է տալիս անվտանգության մասնագետներին իրականացնել տվյալների համալիր արդյունահանում SQL-ի միջոցով: Osquery Framework-ը կարող է աշխատել Linux-ի, macOS-ի, Windows-ի և FreeBSD-ի վրա: Այն ներկայացնում է օպերացիոն համակարգը (OS) որպես բարձր արդյունավետության հարաբերական տվյալների բազա: Սա թույլ է տալիս անվտանգության մասնագետներին ուսումնասիրել ՕՀ-ը՝ գործարկելով SQL հարցումներ: Օրինակ, օգտագործելով հարցումը, դուք կարող եք իմանալ գործարկվող գործընթացների, բեռնված միջուկի մոդուլների, բաց ցանցային կապերի, տեղադրված բրաուզերի ընդլայնումների, ապարատային իրադարձությունների և ֆայլերի հեշերի մասին:
Osquery շրջանակը ստեղծվել է Facebook-ի կողմից: Դրա կոդը բաց կոդով ստացվեց 2014 թվականին, այն բանից հետո, երբ ընկերությունը հասկացավ, որ ոչ միայն իրեն անհրաժեշտ են գործիքներ՝ վերահսկելու օպերացիոն համակարգերի ցածր մակարդակի մեխանիզմները: Այդ ժամանակից ի վեր Osquery-ն օգտագործվում է այնպիսի ընկերությունների մասնագետների կողմից, ինչպիսիք են Dactiv, Google, Kolide, Trail of Bits, Uptycs և շատ ուրիշներ: Դա վերջերս էր որ Linux հիմնադրամը և Facebook-ը պատրաստվում են հիմնադրամ ստեղծել Osquery-ին աջակցելու համար։
Osquery's host monitoring daemon-ը, որը կոչվում է osqueryd, թույլ է տալիս պլանավորել հարցումներ, որոնք հավաքում են տվյալներ ձեր կազմակերպության ենթակառուցվածքից: Դեյմոնը հավաքում է հարցումների արդյունքները և ստեղծում տեղեկամատյաններ, որոնք արտացոլում են ենթակառուցվածքի վիճակի փոփոխությունները: Սա կարող է օգնել անվտանգության մասնագետներին տեղյակ մնալ համակարգի կարգավիճակին և հատկապես օգտակար է անոմալիաները հայտնաբերելու համար: Osquery-ի տեղեկամատյանների ագրեգացման հնարավորությունները կարող են օգտագործվել՝ օգնելու ձեզ գտնել հայտնի և անհայտ չարամիտ ծրագրեր, ինչպես նաև բացահայտել, թե որտեղ են հարձակվողները մտել ձեր համակարգ և գտնել, թե ինչ ծրագրեր են նրանք տեղադրել: Կարդացեք ավելին Osquery-ի միջոցով անոմալիաների հայտնաբերման մասին:
2.GoAudit
Համակարգ բաղկացած է երկու հիմնական բաղադրիչներից. Առաջինը միջուկի մակարդակի որոշ կոդ է, որը նախատեսված է համակարգային զանգերը գաղտնալսելու և վերահսկելու համար: Երկրորդ բաղադրիչը օգտագործողի տարածության դեմոն է, որը կոչվում է . Այն պատասխանատու է աուդիտի արդյունքները սկավառակի վրա գրելու համար: , ընկերության կողմից ստեղծված համակարգ և թողարկվել է 2016 թվականին, որը նախատեսված է փոխարինելու աուդիտի ենթարկվածը: Այն բարելավել է գրանցման հնարավորությունները՝ վերափոխելով Linux աուդիտորական համակարգի կողմից ստեղծված իրադարձությունների բազմակողմ հաղորդագրությունները մեկ JSON բլբերների՝ ավելի հեշտ վերլուծության համար: GoAudit-ի միջոցով դուք կարող եք ուղղակիորեն մուտք գործել միջուկի մակարդակի մեխանիզմներ ցանցի միջոցով: Բացի այդ, դուք կարող եք միացնել նվազագույն իրադարձությունների զտումը հենց հյուրընկալողի վրա (կամ ամբողջությամբ անջատել զտումը): Միևնույն ժամանակ, GoAudit-ը նախագիծ է, որը նախատեսված է ոչ միայն անվտանգության ապահովման համար: Այս գործիքը նախագծված է որպես գործառույթներով հարուստ գործիք համակարգերի աջակցության կամ զարգացման մասնագետների համար: Այն օգնում է պայքարել լայնածավալ ենթակառուցվածքներում առկա խնդիրների դեմ:
GoAudit համակարգը գրված է Golang-ով: Դա տիպերի համար անվտանգ և բարձր կատարողական լեզու է: Նախքան GoAudit-ը տեղադրելը, ստուգեք, որ Golang-ի ձեր տարբերակը 1.7-ից բարձր է:
3. Գրապլ
Ծրագիր (Graph Analytics Platform) անցած տարվա մարտին փոխանցվել է բաց կոդով կատեգորիա: Սա համեմատաբար նոր հարթակ է անվտանգության խնդիրները հայտնաբերելու, համակարգչային դատաբժշկական փորձաքննություն անցկացնելու և միջադեպերի մասին հաշվետվություններ ստեղծելու համար: Հարձակվողները հաճախ աշխատում են գրաֆիկական մոդելի նման մի բան օգտագործելով՝ ձեռք բերելով մեկ համակարգի վերահսկողություն և ուսումնասիրելով ցանցային այլ համակարգեր՝ սկսած այդ համակարգից: Հետևաբար, միանգամայն բնական է, որ համակարգի պաշտպանները կօգտագործեն նաև ցանցային համակարգերի միացումների գրաֆիկի մոդելի վրա հիմնված մեխանիզմ՝ հաշվի առնելով համակարգերի միջև հարաբերությունների առանձնահատկությունները։ Grapl-ը ցույց է տալիս միջադեպերի հայտնաբերման և արձագանքման միջոցառումներ իրականացնելու փորձ՝ հիմնված գրաֆիկական մոդելի, այլ ոչ թե լոգարիթմական մոդելի վրա:
Grapl գործիքը վերցնում է անվտանգության հետ կապված տեղեկամատյաններ (Sysmon տեղեկամատյաններ կամ սովորական JSON ձևաչափով գրանցամատյաններ) և դրանք փոխակերպում են ենթագրաֆների (սահմանելով «ինքնություն» յուրաքանչյուր հանգույցի համար): Դրանից հետո այն միավորում է ենթագրաֆները ընդհանուր գրաֆիկի մեջ (Master Graph), որը ներկայացնում է վերլուծված միջավայրերում կատարված գործողությունները։ Այնուհետև Grapl-ը գործարկում է անալիզատորները ստացված գրաֆիկի վրա՝ օգտագործելով «հարձակվողի ստորագրությունները»՝ հայտնաբերելու անոմալիաները և կասկածելի օրինաչափությունները: Երբ անալիզատորը հայտնաբերում է կասկածելի ենթագրաֆ, Grapl-ը ստեղծում է Engagement կառուցվածք, որը նախատեսված է հետազոտության համար: Engagement-ը Python դաս է, որը կարող է բեռնվել, օրինակ, Jupyter Notebook-ում, որը տեղակայված է AWS միջավայրում: Grapl-ը, ի լրումն, կարող է մեծացնել տեղեկատվության հավաքագրման մասշտաբը միջադեպերի հետաքննության համար գրաֆիկի ընդլայնման միջոցով:
Եթե ցանկանում եք ավելի լավ հասկանալ Grapl-ին, կարող եք նայել հետաքրքիր տեսանյութ՝ ներկայացման ձայնագրություն BSides Las Vegas 2019-ից։
4. OSSEC
նախագիծ է, որը հիմնադրվել է 2004թ. Այս նախագիծը, ընդհանուր առմամբ, կարելի է բնութագրել որպես բաց կոդով անվտանգության մոնիտորինգի հարթակ, որը նախատեսված է հյուրընկալող վերլուծության և ներխուժման հայտնաբերման համար: OSSEC-ը ներբեռնվում է տարեկան ավելի քան 500000 անգամ: Այս հարթակը հիմնականում օգտագործվում է որպես սերվերների վրա ներխուժումներ հայտնաբերելու միջոց։ Ընդ որում, խոսքը ինչպես տեղական, այնպես էլ ամպային համակարգերի մասին է։ OSSEC-ը հաճախ օգտագործվում է նաև որպես գործիք firewall-ների, ներխուժման հայտնաբերման համակարգերի, վեբ սերվերների մոնիտորինգի և վերլուծության մատյանները ուսումնասիրելու և նաև վավերացման տեղեկամատյանները ուսումնասիրելու համար:
OSSEC-ը համատեղում է հյուրընկալողի վրա հիմնված ներխուժման հայտնաբերման համակարգի (HIDS) հնարավորությունները անվտանգության միջադեպերի կառավարման (SIM) և անվտանգության տեղեկատվության և իրադարձությունների կառավարման (SIEM) համակարգերի հետ: OSSEC-ը կարող է նաև իրական ժամանակում վերահսկել ֆայլերի ամբողջականությունը: Սա, օրինակ, վերահսկում է Windows ռեեստրը և հայտնաբերում rootkits: OSSEC-ը կարող է իրական ժամանակում տեղեկացնել շահագրգիռ կողմերին հայտնաբերված խնդիրների մասին և օգնում է արագ արձագանքել հայտնաբերված սպառնալիքներին: Այս հարթակն աջակցում է Microsoft Windows-ին և Unix-ի նման ժամանակակից համակարգերին, ներառյալ Linux, FreeBSD, OpenBSD և Solaris:
OSSEC պլատֆորմը բաղկացած է կենտրոնական վերահսկող մարմնից՝ մենեջերից, որն օգտագործվում է գործակալներից տեղեկատվություն ստանալու և վերահսկելու համար (համակարգերի վրա տեղադրված փոքր ծրագրեր, որոնք պետք է վերահսկվեն): Կառավարիչը տեղադրված է Linux համակարգում, որը պահում է տվյալների բազա, որն օգտագործվում է ֆայլերի ամբողջականությունը ստուգելու համար: Այն նաև պահում է իրադարձությունների և համակարգի աուդիտի արդյունքների տեղեկամատյանները և գրառումները:
OSSEC-ի նախագիծը ներկայումս աջակցվում է Atomicorp-ի կողմից: Ընկերությունը վերահսկում է անվճար բաց կոդով տարբերակը և, ի լրումն, առաջարկում է ապրանքի կոմերցիոն տարբերակը: podcast, որում OSSEC ծրագրի ղեկավարը խոսում է համակարգի վերջին տարբերակի մասին՝ OSSEC 3.0: Այն նաև խոսում է նախագծի պատմության մասին և ինչպես է այն տարբերվում համակարգչային անվտանգության ոլորտում օգտագործվող ժամանակակից կոմերցիոն համակարգերից:
5. Մերկաթ
բաց կոդով նախագիծ է, որը կենտրոնացած է համակարգչային անվտանգության հիմնական խնդիրների լուծման վրա: Մասնավորապես, այն ներառում է ներխուժման հայտնաբերման համակարգ, ներխուժման կանխարգելման համակարգ և ցանցի անվտանգության մոնիտորինգի գործիք:
Այս ապրանքը հայտնվել է 2009 թ. Նրա աշխատանքը հիմնված է կանոնների վրա. Այսինքն՝ այն օգտագործողը հնարավորություն ունի նկարագրելու ցանցային տրաֆիկի որոշակի առանձնահատկություններ։ Եթե կանոնը գործարկվում է, Suricata-ն ստեղծում է ծանուցում` արգելափակելով կամ դադարեցնելով կասկածելի կապը, որը, կրկին, կախված է նշված կանոններից: Նախագիծը նաև աջակցում է բազմաթելային աշխատանքին: Սա հնարավորություն է տալիս արագորեն մշակել մեծ թվով կանոններ ցանցերում, որոնք մեծ քանակությամբ տրաֆիկ են կրում: Բազմաթելային աջակցության շնորհիվ բոլորովին սովորական սերվերը ի վիճակի է հաջողությամբ վերլուծել 10 Գբիտ/վ արագությամբ շարժվող երթևեկությունը: Այս դեպքում ադմինիստրատորը պարտավոր չէ սահմանափակել երթեւեկության վերլուծության համար օգտագործվող կանոնների փաթեթը: Suricata-ն նաև աջակցում է հեշինգին և ֆայլերի որոնմանը:
Suricata-ն կարող է կարգավորվել այնպես, որ գործարկվի սովորական սերվերների կամ վիրտուալ մեքենաների վրա, ինչպիսին է AWS-ը՝ օգտագործելով արտադրանքում վերջերս ներկայացված հատկանիշը: .
Նախագիծն աջակցում է Lua սկրիպտներին, որոնք կարող են օգտագործվել սպառնալիքների ստորագրությունները վերլուծելու համար բարդ և մանրամասն տրամաբանություն ստեղծելու համար:
Suricata նախագիծը կառավարվում է Բաց տեղեկատվական անվտանգության հիմնադրամի (OISF) կողմից:
6. Զիկ (եղբայր)
Սուրիկատայի պես, (այս նախագիծը նախկինում կոչվում էր Bro և վերանվանվեց Zeek BroCon 2018-ում) նաև ներխուժման հայտնաբերման համակարգ և ցանցային անվտանգության մոնիտորինգի գործիք է, որը կարող է հայտնաբերել անոմալիաներ, ինչպիսիք են կասկածելի կամ վտանգավոր գործունեությունը: Zeek-ը տարբերվում է ավանդական IDS-ից նրանով, որ, ի տարբերություն կանոնների վրա հիմնված համակարգերի, որոնք հայտնաբերում են բացառություններ, Zeek-ը նաև գրավում է մետատվյալները՝ կապված ցանցում տեղի ունեցող իրադարձությունների հետ: Սա արվում է ցանցի անսովոր վարքագծի համատեքստը ավելի լավ հասկանալու համար: Սա թույլ է տալիս, օրինակ, վերլուծելով HTTP զանգը կամ անվտանգության վկայագրերի փոխանակման ընթացակարգը, դիտել արձանագրությունը, փաթեթների վերնագրերը, տիրույթների անունները:
Եթե Zeek-ը դիտարկենք որպես ցանցային անվտանգության գործիք, ապա կարող ենք ասել, որ այն մասնագետին հնարավորություն է տալիս հետաքննել միջադեպը՝ իմանալով, թե ինչ է տեղի ունեցել դեպքից առաջ կամ դրա ընթացքում։ Zeek-ը նաև ցանցի երթևեկության տվյալները վերածում է բարձր մակարդակի իրադարձությունների և ապահովում է սցենարի թարգմանչի հետ աշխատելու հնարավորություն: Թարգմանիչը աջակցում է ծրագրավորման լեզու, որն օգտագործվում է իրադարձությունների հետ շփվելու և պարզելու, թե կոնկրետ ինչ են նշանակում այդ իրադարձությունները ցանցի անվտանգության տեսանկյունից: Zeek ծրագրավորման լեզուն կարող է օգտագործվել՝ հարմարեցնելու համար, թե ինչպես են մետատվյալները մեկնաբանվում՝ համապատասխան կազմակերպության հատուկ կարիքներին: Այն թույլ է տալիս կառուցել բարդ տրամաբանական պայմաններ՝ օգտագործելով AND, OR և NOT օպերատորները: Սա օգտվողներին հնարավորություն է տալիս հարմարեցնել, թե ինչպես են վերլուծվում իրենց միջավայրերը: Այնուամենայնիվ, պետք է նշել, որ Սուրիկատայի հետ համեմատած, Զիքը կարող է բավականին բարդ գործիք թվալ անվտանգության սպառնալիքների հետախուզություն իրականացնելիս։
Եթե դուք հետաքրքրված եք Zeek-ի մասին ավելի շատ մանրամասներով, խնդրում ենք կապվել տեսանյութ:
7. Պանտերա
Անվտանգության շարունակական մոնիտորինգի համար հզոր, բնիկ ամպային հարթակ է: Այն վերջերս տեղափոխվել է բաց կոդով կատեգորիա: Ծրագրի ակունքներում է գլխավոր ճարտարապետը — մատյանների ավտոմատ վերլուծության լուծումներ, որոնց կոդը բացվել է Airbnb-ի կողմից: Panther-ը օգտվողին տալիս է մեկ համակարգ՝ բոլոր միջավայրերում սպառնալիքները կենտրոնացված հայտնաբերելու և դրանց արձագանքը կազմակերպելու համար: Այս համակարգը կարող է աճել սպասարկվող ենթակառուցվածքի չափերին զուգահեռ: Սպառնալիքների հայտնաբերումը հիմնված է թափանցիկ, դետերմինիստական կանոնների վրա՝ նվազեցնելու կեղծ պոզիտիվները և անվտանգության մասնագետների համար ավելորդ ծանրաբեռնվածությունը:
Պանտերայի հիմնական հատկանիշներից են հետևյալը.
- Ռեսուրսների չարտոնված մուտքի հայտնաբերում տեղեկամատյանների վերլուծության միջոցով:
- Սպառնալիքների հայտնաբերում, որն իրականացվում է տեղեկամատյանների որոնման միջոցով, որոնք ցույց են տալիս անվտանգության խնդիրները: Որոնումն իրականացվում է Panter-ի ստանդարտացված տվյալների դաշտերի միջոցով:
- Համակարգի SOC/PCI/HIPAA ստանդարտներին համապատասխանության ստուգում՝ օգտագործելով Պանտերայի մեխանիզմներ.
- Պաշտպանեք ձեր ամպային ռեսուրսները՝ ավտոմատ կերպով շտկելով կազմաձևման սխալները, որոնք կարող են լուրջ խնդիրներ առաջացնել, եթե դրանք օգտագործվեն հարձակվողների կողմից:
Panther-ը տեղակայված է կազմակերպության AWS ամպի վրա՝ օգտագործելով AWS CloudFormation: Սա թույլ է տալիս օգտվողին միշտ վերահսկել իր տվյալները:
Արդյունքները
Մոնիտորինգի համակարգի անվտանգության մոնիտորինգը այս օրերին կարևոր խնդիր է: Այս խնդիրը լուծելիս ցանկացած չափի ընկերություններին կարող են օգնել բաց կոդով գործիքները, որոնք շատ հնարավորություններ են տալիս և գրեթե ոչինչ չեն արժենում կամ անվճար են։
Հարգելի ընթերցողներ: Անվտանգության մոնիտորինգի ի՞նչ գործիքներ եք օգտագործում:
Source: www.habr.com