Adopsi komputasi awan yang meluas membantu perusahaan meningkatkan skala bisnis mereka. Namun penggunaan platform baru juga berarti munculnya ancaman baru. Mempertahankan tim Anda sendiri dalam organisasi yang bertanggung jawab memantau keamanan layanan cloud bukanlah tugas yang mudah. Alat pemantauan yang ada mahal dan lambat. Sampai batas tertentu, hal-hal tersebut sulit dikelola ketika menyangkut pengamanan infrastruktur cloud berskala besar. Untuk menjaga keamanan cloud mereka pada tingkat tinggi, perusahaan memerlukan alat yang kuat, fleksibel, dan intuitif yang melampaui apa yang tersedia sebelumnya. Di sinilah teknologi open source sangat berguna, membantu menghemat anggaran keamanan dan diciptakan oleh spesialis yang tahu banyak tentang bisnis mereka.
Artikel, terjemahan yang kami terbitkan hari ini, memberikan ikhtisar tentang 7 alat sumber terbuka untuk memantau keamanan sistem cloud. Alat-alat ini dirancang untuk melindungi dari peretas dan penjahat dunia maya dengan mendeteksi anomali dan aktivitas tidak aman.
1. Osquery
adalah sistem untuk pemantauan dan analisis sistem operasi tingkat rendah yang memungkinkan profesional keamanan melakukan penambangan data kompleks menggunakan SQL. Framework Osquery dapat berjalan di Linux, macOS, Windows dan FreeBSD. Ini mewakili sistem operasi (OS) sebagai database relasional berkinerja tinggi. Hal ini memungkinkan spesialis keamanan untuk memeriksa OS dengan menjalankan kueri SQL. Misalnya, dengan menggunakan kueri, Anda dapat mengetahui tentang proses yang berjalan, modul kernel yang dimuat, koneksi jaringan terbuka, ekstensi browser yang diinstal, kejadian perangkat keras, dan hash file.
Kerangka kerja Osquery dibuat oleh Facebook. Kodenya bersumber terbuka pada tahun 2014, setelah perusahaan menyadari bahwa bukan hanya perusahaan itu sendiri yang membutuhkan alat untuk memantau mekanisme sistem operasi tingkat rendah. Sejak itu, Osquery telah digunakan oleh spesialis dari perusahaan seperti Dactiv, Google, Kolide, Trail of Bits, Uptycs, dan banyak lainnya. Itu baru-baru ini bahwa Linux Foundation dan Facebook akan membentuk dana untuk mendukung Osquery.
Daemon pemantauan host Osquery, yang disebut osqueryd, memungkinkan Anda menjadwalkan kueri yang mengumpulkan data dari seluruh infrastruktur organisasi Anda. Daemon mengumpulkan hasil kueri dan membuat log yang mencerminkan perubahan status infrastruktur. Hal ini dapat membantu profesional keamanan tetap mengikuti status sistem dan sangat berguna untuk mengidentifikasi anomali. Kemampuan agregasi log Osquery dapat digunakan untuk membantu Anda menemukan malware yang dikenal dan tidak dikenal, serta mengidentifikasi di mana penyerang memasuki sistem Anda dan menemukan program apa yang telah mereka instal. Baca selengkapnya tentang deteksi anomali menggunakan Osquery.
2.GoAudit
Sistem terdiri dari dua komponen utama. Yang pertama adalah beberapa kode tingkat kernel yang dirancang untuk mencegat dan memantau panggilan sistem. Komponen kedua adalah daemon ruang pengguna yang disebut . Bertanggung jawab untuk menulis hasil audit ke disk. , sistem yang dibuat oleh perusahaan dan dirilis pada tahun 2016, dimaksudkan untuk menggantikan auditd. Ini telah meningkatkan kemampuan logging dengan mengubah pesan peristiwa multi-baris yang dihasilkan oleh sistem audit Linux menjadi blob JSON tunggal untuk memudahkan analisis. Dengan GoAudit, Anda dapat langsung mengakses mekanisme tingkat kernel melalui jaringan. Selain itu, Anda dapat mengaktifkan pemfilteran peristiwa minimal pada host itu sendiri (atau menonaktifkan pemfilteran sepenuhnya). Pada saat yang sama, GoAudit adalah proyek yang dirancang tidak hanya untuk menjamin keamanan. Alat ini dirancang sebagai alat yang kaya fitur untuk dukungan sistem atau profesional pengembangan. Hal ini membantu mengatasi masalah infrastruktur berskala besar.
Sistem GoAudit ditulis dalam Golang. Ini adalah bahasa yang aman untuk mengetik dan berkinerja tinggi. Sebelum menginstal GoAudit, periksa apakah versi Golang Anda lebih tinggi dari 1.7.
3. Grapl
Proyek (Graph Analytics Platform) dipindahkan ke kategori open source pada bulan Maret tahun lalu. Ini adalah platform yang relatif baru untuk mendeteksi masalah keamanan, melakukan forensik komputer, dan menghasilkan laporan insiden. Penyerang sering kali bekerja menggunakan sesuatu seperti model grafik, mendapatkan kendali atas satu sistem dan menjelajahi sistem jaringan lain mulai dari sistem itu. Oleh karena itu, wajar jika pembela sistem juga menggunakan mekanisme yang didasarkan pada model grafik koneksi sistem jaringan, dengan mempertimbangkan kekhasan hubungan antar sistem. Grapl mendemonstrasikan upaya untuk menerapkan deteksi insiden dan tindakan respons berdasarkan model grafik, bukan model log.
Alat Grapl mengambil log terkait keamanan (log Sysmon atau log dalam format JSON biasa) dan mengubahnya menjadi subgraf (mendefinisikan βidentitasβ untuk setiap node). Setelah itu, subgraf tersebut digabungkan menjadi grafik umum (Grafik Master), yang mewakili tindakan yang dilakukan di lingkungan yang dianalisis. Grapl kemudian menjalankan Penganalisis pada grafik yang dihasilkan menggunakan βtanda tangan penyerangβ untuk mengidentifikasi anomali dan pola yang mencurigakan. Ketika penganalisis mengidentifikasi subgraf yang mencurigakan, Grapl menghasilkan konstruksi Keterlibatan yang dimaksudkan untuk penyelidikan. Keterlibatan adalah kelas Python yang dapat dimuat, misalnya, ke dalam Notebook Jupyter yang diterapkan di lingkungan AWS. Grapl, selain itu, dapat meningkatkan skala pengumpulan informasi untuk investigasi insiden melalui perluasan grafik.
Jika Anda ingin lebih memahami Grapl, Anda dapat melihatnya video menarik - rekaman penampilan dari BSides Las Vegas 2019.
4. OSSEC
adalah proyek yang didirikan pada tahun 2004. Proyek ini, secara umum, dapat dicirikan sebagai platform pemantauan keamanan sumber terbuka yang dirancang untuk analisis host dan deteksi intrusi. OSSEC diunduh lebih dari 500000 kali per tahun. Platform ini digunakan terutama sebagai alat untuk mendeteksi intrusi pada server. Selain itu, kita berbicara tentang sistem lokal dan cloud. OSSEC juga sering digunakan sebagai alat untuk memeriksa log pemantauan dan analisis firewall, sistem deteksi intrusi, server web, dan juga untuk mempelajari log otentikasi.
OSSEC menggabungkan kemampuan Sistem Deteksi Intrusi Berbasis Host (HIDS) dengan sistem Manajemen Insiden Keamanan (SIM) dan Manajemen Informasi dan Peristiwa Keamanan (SIEM). OSSEC juga dapat memantau integritas file secara real time. Ini, misalnya, memonitor registri Windows dan mendeteksi rootkit. OSSEC mampu memberi tahu pemangku kepentingan tentang masalah yang terdeteksi secara real time dan membantu merespons ancaman yang terdeteksi dengan cepat. Platform ini mendukung Microsoft Windows dan sebagian besar sistem mirip Unix modern, termasuk Linux, FreeBSD, OpenBSD, dan Solaris.
Platform OSSEC terdiri dari entitas kendali pusat, seorang manajer, yang digunakan untuk menerima dan memantau informasi dari agen (program kecil yang diinstal pada sistem yang perlu dipantau). Manajer diinstal pada sistem Linux, yang menyimpan database yang digunakan untuk memeriksa integritas file. Ini juga menyimpan log dan catatan peristiwa dan hasil audit sistem.
Proyek OSSEC saat ini didukung oleh Atomicorp. Perusahaan mengawasi versi open source gratis, dan, sebagai tambahan, penawaran versi komersial produk. podcast di mana manajer proyek OSSEC berbicara tentang versi terbaru sistem - OSSEC 3.0. Bagian ini juga membahas tentang sejarah proyek, dan perbedaannya dengan sistem komersial modern yang digunakan di bidang keamanan komputer.
5. meerkat
adalah proyek sumber terbuka yang berfokus pada pemecahan masalah utama keamanan komputer. Secara khusus, ini mencakup sistem deteksi intrusi, sistem pencegahan intrusi, dan alat pemantauan keamanan jaringan.
Produk ini muncul pada tahun 2009. Pekerjaannya didasarkan pada aturan. Artinya, orang yang menggunakannya memiliki kesempatan untuk menggambarkan fitur-fitur tertentu dari lalu lintas jaringan. Jika aturan dipicu, Suricata menghasilkan pemberitahuan yang memblokir atau menghentikan koneksi mencurigakan, yang, sekali lagi, bergantung pada aturan yang ditentukan. Proyek ini juga mendukung operasi multi-thread. Hal ini memungkinkan untuk dengan cepat memproses sejumlah besar aturan dalam jaringan yang membawa lalu lintas dalam jumlah besar. Berkat dukungan multi-threading, server biasa berhasil menganalisis lalu lintas yang berjalan pada kecepatan 10 Gbit/s. Dalam hal ini, administrator tidak harus membatasi seperangkat aturan yang digunakan untuk analisis lalu lintas. Suricata juga mendukung hashing dan pengambilan file.
Suricata dapat dikonfigurasi untuk berjalan di server biasa atau di mesin virtual, seperti AWS, menggunakan fitur yang baru diperkenalkan di produk .
Proyek ini mendukung skrip Lua, yang dapat digunakan untuk membuat logika yang kompleks dan terperinci untuk menganalisis tanda tangan ancaman.
Proyek Suricata dikelola oleh Open Information Security Foundation (OISF).
6. Zeek (kakak)
Seperti Suricata, (proyek ini sebelumnya bernama Bro dan berganti nama menjadi Zeek di BroCon 2018) juga merupakan sistem deteksi intrusi dan alat pemantauan keamanan jaringan yang dapat mendeteksi anomali seperti aktivitas mencurigakan atau berbahaya. Zeek berbeda dari IDS tradisional, tidak seperti sistem berbasis aturan yang mendeteksi pengecualian, Zeek juga menangkap metadata yang terkait dengan apa yang terjadi di jaringan. Hal ini dilakukan untuk lebih memahami konteks perilaku jaringan yang tidak biasa. Hal ini memungkinkan, misalnya, dengan menganalisis panggilan HTTP atau prosedur pertukaran sertifikat keamanan, untuk melihat protokol, header paket, dan nama domain.
Jika kita menganggap Zeek sebagai alat keamanan jaringan, maka kita dapat mengatakan bahwa Zeek memberikan kesempatan kepada spesialis untuk menyelidiki suatu insiden dengan mempelajari tentang apa yang terjadi sebelum atau selama insiden tersebut. Zeek juga mengubah data lalu lintas jaringan menjadi peristiwa tingkat tinggi dan menyediakan kemampuan untuk bekerja dengan penerjemah skrip. Penerjemah mendukung bahasa pemrograman yang digunakan untuk berinteraksi dengan peristiwa dan untuk mengetahui apa sebenarnya arti peristiwa tersebut dalam kaitannya dengan keamanan jaringan. Bahasa pemrograman Zeek dapat digunakan untuk menyesuaikan interpretasi metadata agar sesuai dengan kebutuhan organisasi tertentu. Ini memungkinkan Anda membangun kondisi logis yang kompleks menggunakan operator AND, OR, dan NOT. Hal ini memberi pengguna kemampuan untuk menyesuaikan cara analisis lingkungan mereka. Namun, perlu dicatat bahwa, dibandingkan dengan Suricata, Zeek mungkin tampak seperti alat yang agak rumit ketika melakukan pengintaian ancaman keamanan.
Jika Anda tertarik untuk mengetahui lebih detail tentang Zeek, silakan hubungi video.
7. macan kumbang
adalah platform cloud-native yang kuat untuk pemantauan keamanan berkelanjutan. Baru-baru ini dipindahkan ke kategori open source. Arsitek utama adalah asal muasal proyek ini β solusi untuk analisis log otomatis, yang kodenya dibuka oleh Airbnb. Panther memberi pengguna sistem tunggal untuk mendeteksi ancaman secara terpusat di semua lingkungan dan mengatur respons terhadap ancaman tersebut. Sistem ini mampu berkembang seiring dengan besarnya infrastruktur yang dilayani. Deteksi ancaman didasarkan pada aturan yang transparan dan deterministik untuk mengurangi kesalahan positif dan beban kerja yang tidak perlu bagi profesional keamanan.
Di antara fitur-fitur utama Panther adalah sebagai berikut:
- Deteksi akses tidak sah ke sumber daya dengan menganalisis log.
- Deteksi ancaman, diterapkan dengan mencari log untuk indikator yang menunjukkan masalah keamanan. Pencarian dilakukan dengan menggunakan bidang data standar Panter.
- Memeriksa kepatuhan sistem terhadap standar SOC/PCI/HIPAA menggunakan Mekanisme macan kumbang.
- Lindungi sumber daya cloud Anda dengan secara otomatis memperbaiki kesalahan konfigurasi yang dapat menyebabkan masalah serius jika dieksploitasi oleh penyerang.
Panther diterapkan di AWS cloud organisasi menggunakan AWS CloudFormation. Hal ini memungkinkan pengguna untuk selalu mengontrol datanya.
Hasil
Memantau keamanan sistem adalah tugas penting saat ini. Dalam mengatasi masalah ini, perusahaan dengan ukuran berapa pun dapat terbantu dengan alat open source yang memberikan banyak peluang dan hampir tidak memerlukan biaya atau gratis.
Pembaca yang terhormat Alat pemantauan keamanan apa yang Anda gunakan?
Sumber: www.habr.com