L’adozione diffusa del cloud computing aiuta le aziende a espandere la propria attività. Ma l’utilizzo di nuove piattaforme significa anche l’emergere di nuove minacce. Mantenere il proprio team all'interno di un'organizzazione responsabile del monitoraggio della sicurezza dei servizi cloud non è un compito facile. Gli strumenti di monitoraggio esistenti sono costosi e lenti. In una certa misura, sono difficili da gestire quando si tratta di proteggere un’infrastruttura cloud su larga scala. Per mantenere la sicurezza del cloud a un livello elevato, le aziende hanno bisogno di strumenti potenti, flessibili e intuitivi che vadano oltre quanto precedentemente disponibile. È qui che le tecnologie open source tornano molto utili, aiutando a risparmiare sui budget per la sicurezza e essendo create da specialisti che sanno molto della loro attività.
L'articolo, di cui pubblichiamo oggi la traduzione, fornisce una panoramica di 7 strumenti open source per il monitoraggio della sicurezza dei sistemi cloud. Questi strumenti sono progettati per proteggersi da hacker e criminali informatici rilevando anomalie e attività non sicure.
1. Osteria
è un sistema per il monitoraggio e l'analisi di basso livello dei sistemi operativi che consente ai professionisti della sicurezza di condurre data mining complessi utilizzando SQL. Il framework Osquery può essere eseguito su Linux, macOS, Windows e FreeBSD. Rappresenta il sistema operativo (OS) come un database relazionale ad alte prestazioni. Ciò consente agli specialisti della sicurezza di esaminare il sistema operativo eseguendo query SQL. Ad esempio, utilizzando una query, puoi scoprire processi in esecuzione, moduli del kernel caricati, connessioni di rete aperte, estensioni del browser installate, eventi hardware e hash dei file.
Il framework Osquery è stato creato da Facebook. Il suo codice è diventato open source nel 2014, dopo che l'azienda si è resa conto che non era solo lei ad avere bisogno di strumenti per monitorare i meccanismi di basso livello dei sistemi operativi. Da allora, Osquery è stato utilizzato da specialisti di aziende come Dactiv, Google, Kolide, Trail of Bits, Uptycs e molte altre. È stato di recente che la Linux Foundation e Facebook costituiranno un fondo per sostenere Osquery.
Il demone di monitoraggio host di Osquery, chiamato osqueryd, ti consente di pianificare query che raccolgono dati dall'intera infrastruttura della tua organizzazione. Il demone raccoglie i risultati delle query e crea log che riflettono i cambiamenti nello stato dell'infrastruttura. Ciò può aiutare i professionisti della sicurezza a rimanere aggiornati sullo stato del sistema ed è particolarmente utile per identificare le anomalie. Le funzionalità di aggregazione dei registri di Osquery possono essere utilizzate per aiutarti a trovare malware noti e sconosciuti, nonché per identificare i punti in cui gli aggressori sono entrati nel tuo sistema e scoprire quali programmi hanno installato. Ulteriori informazioni sul rilevamento delle anomalie utilizzando Osquery.
2.GoAudit
Sistema è costituito da due componenti principali. Il primo è un codice a livello di kernel progettato per intercettare e monitorare le chiamate di sistema. Il secondo componente è un demone dello spazio utente chiamato . È responsabile della scrittura dei risultati del controllo su disco. , un sistema creato dall'azienda e rilasciato nel 2016, destinato a sostituire auditd. Ha migliorato le capacità di registrazione convertendo i messaggi di eventi su più righe generati dal sistema di controllo Linux in singoli BLOB JSON per un'analisi più semplice. Con GoAudit puoi accedere direttamente ai meccanismi a livello di kernel sulla rete. Inoltre, puoi abilitare il filtraggio minimo degli eventi sull'host stesso (o disabilitare completamente il filtraggio). Allo stesso tempo, GoAudit è un progetto pensato non solo per garantire la sicurezza. Questo strumento è progettato come uno strumento ricco di funzionalità per il supporto di sistemi o professionisti dello sviluppo. Aiuta a combattere i problemi delle infrastrutture su larga scala.
Il sistema GoAudit è scritto in Golang. È un linguaggio indipendente dai tipi e ad alte prestazioni. Prima di installare GoAudit, controlla che la tua versione di Golang sia successiva alla 1.7.
3. Rampino
Progetto (Graph Analytics Platform) è stato trasferito nella categoria open source nel marzo dello scorso anno. Si tratta di una piattaforma relativamente nuova per rilevare problemi di sicurezza, condurre analisi forensi informatiche e generare rapporti sugli incidenti. Gli aggressori spesso lavorano utilizzando qualcosa come un modello grafico, ottenendo il controllo di un singolo sistema ed esplorando altri sistemi di rete partendo da quel sistema. Pertanto, è del tutto naturale che i difensori del sistema utilizzino anche un meccanismo basato su un modello di grafico delle connessioni dei sistemi di rete, tenendo conto delle peculiarità delle relazioni tra i sistemi. Grapl dimostra un tentativo di implementare misure di rilevamento e risposta agli incidenti basate su un modello grafico anziché su un modello log.
Lo strumento Grapl prende i log relativi alla sicurezza (log Sysmon o log nel normale formato JSON) e li converte in sottografi (definendo una "identità" per ciascun nodo). Successivamente unisce i sottografi in un grafico comune (Master Graph), che rappresenta le azioni eseguite negli ambienti analizzati. Grapl esegue quindi gli analizzatori sul grafico risultante utilizzando le “firme degli aggressori” per identificare anomalie e modelli sospetti. Quando l'analizzatore identifica un sottografo sospetto, Grapl genera un costrutto Engagement destinato all'indagine. Engagement è una classe Python che può essere caricata, ad esempio, in un Jupyter Notebook distribuito nell'ambiente AWS. Grapl, inoltre, può aumentare la portata della raccolta di informazioni per l'indagine sugli incidenti attraverso l'espansione del grafico.
Se vuoi capire meglio Grapl, puoi dare un'occhiata video interessante: registrazione di una performance del BSides Las Vegas 2019.
4. OSSEC
è un progetto fondato nel 2004. Questo progetto, in generale, può essere caratterizzato come una piattaforma di monitoraggio della sicurezza open source progettata per l'analisi degli host e il rilevamento delle intrusioni. OSSEC viene scaricato più di 500000 volte all'anno. Questa piattaforma viene utilizzata principalmente come mezzo per rilevare intrusioni sui server. Inoltre, stiamo parlando sia di sistemi locali che cloud. OSSEC viene spesso utilizzato anche come strumento per esaminare i registri di monitoraggio e analisi di firewall, sistemi di rilevamento delle intrusioni, server Web e anche per studiare i registri di autenticazione.
OSSEC combina le funzionalità di un sistema di rilevamento delle intrusioni basato su host (HIDS) con un sistema di gestione degli incidenti di sicurezza (SIM) e di gestione delle informazioni e degli eventi di sicurezza (SIEM). OSSEC può anche monitorare l'integrità dei file in tempo reale. Questo, ad esempio, monitora il registro di Windows e rileva i rootkit. L'OSSEC è in grado di informare le parti interessate sui problemi rilevati in tempo reale e aiuta a rispondere rapidamente alle minacce rilevate. Questa piattaforma supporta Microsoft Windows e i più moderni sistemi simili a Unix, inclusi Linux, FreeBSD, OpenBSD e Solaris.
La piattaforma OSSEC è costituita da un'entità di controllo centrale, un manager, utilizzata per ricevere e monitorare le informazioni dagli agenti (piccoli programmi installati sui sistemi da monitorare). Il gestore è installato su un sistema Linux, che memorizza un database utilizzato per verificare l'integrità dei file. Memorizza inoltre registri e registrazioni di eventi e risultati di audit del sistema.
Il progetto OSSEC è attualmente supportato da Atomicorp. L'azienda supervisiona una versione open source gratuita e, inoltre, offre versione commerciale del prodotto. podcast in cui il project manager OSSEC parla dell'ultima versione del sistema: OSSEC 3.0. Si parla anche della storia del progetto e di come si differenzia dai moderni sistemi commerciali utilizzati nel campo della sicurezza informatica.
5. suricato
è un progetto open source focalizzato sulla risoluzione dei principali problemi di sicurezza informatica. In particolare, include un sistema di rilevamento delle intrusioni, un sistema di prevenzione delle intrusioni e uno strumento di monitoraggio della sicurezza della rete.
Questo prodotto è apparso nel 2009. Il suo lavoro si basa su regole. Cioè, chi lo utilizza ha l'opportunità di descrivere alcune caratteristiche del traffico di rete. Se la regola viene attivata, Suricata genera una notifica, bloccando o interrompendo la connessione sospetta, che, ancora una volta, dipende dalle regole specificate. Il progetto supporta anche il funzionamento multi-thread. Ciò consente di elaborare rapidamente un gran numero di regole nelle reti che trasportano grandi volumi di traffico. Grazie al supporto multi-threading, un server del tutto normale è in grado di analizzare con successo il traffico che viaggia ad una velocità di 10 Gbit/s. In questo caso l'amministratore non deve limitare l'insieme di regole utilizzate per l'analisi del traffico. Suricata supporta anche l'hashing e il recupero dei file.
Suricata può essere configurato per essere eseguito su server normali o su macchine virtuali, come AWS, utilizzando una funzionalità introdotta di recente nel prodotto .
Il progetto supporta gli script Lua, che possono essere utilizzati per creare una logica complessa e dettagliata per l'analisi delle firme delle minacce.
Il progetto Suricata è gestito dalla Open Information Security Foundation (OISF).
6. Zeek (fratello)
Come Suricata, (questo progetto si chiamava in precedenza Bro ed è stato ribattezzato Zeek al BroCon 2018) è anche un sistema di rilevamento delle intrusioni e uno strumento di monitoraggio della sicurezza della rete in grado di rilevare anomalie come attività sospette o pericolose. Zeek differisce dagli IDS tradizionali in quanto, a differenza dei sistemi basati su regole che rilevano le eccezioni, Zeek cattura anche i metadati associati a ciò che accade sulla rete. Questo viene fatto per comprendere meglio il contesto del comportamento insolito della rete. Ciò consente, ad esempio, analizzando una chiamata HTTP o la procedura di scambio di certificati di sicurezza, di guardare il protocollo, le intestazioni dei pacchetti, i nomi di dominio.
Se consideriamo Zeek come uno strumento di sicurezza della rete, allora possiamo dire che offre a uno specialista l'opportunità di indagare su un incidente apprendendo cosa è successo prima o durante l'incidente. Zeek converte inoltre i dati del traffico di rete in eventi di alto livello e offre la possibilità di lavorare con un interprete di script. L'interprete supporta un linguaggio di programmazione utilizzato per interagire con gli eventi e per capire cosa significano esattamente quegli eventi in termini di sicurezza della rete. Il linguaggio di programmazione Zeek può essere utilizzato per personalizzare l'interpretazione dei metadati in base alle esigenze di un'organizzazione specifica. Consente di creare condizioni logiche complesse utilizzando gli operatori AND, OR e NOT. Ciò offre agli utenti la possibilità di personalizzare il modo in cui vengono analizzati i loro ambienti. Tuttavia, va notato che, rispetto a Suricata, Zeek può sembrare uno strumento piuttosto complesso quando si conduce la ricognizione delle minacce alla sicurezza.
Se sei interessato a maggiori dettagli su Zeek, contatta video.
7. Pantera
è una potente piattaforma nativa cloud-native per il monitoraggio continuo della sicurezza. Recentemente è stato trasferito nella categoria open source. L'architetto principale è all'origine del progetto — soluzioni per l'analisi automatizzata dei log, il cui codice è stato aperto da Airbnb. Panther offre all'utente un unico sistema per rilevare centralmente le minacce in tutti gli ambienti e organizzare una risposta ad esse. Questo sistema è in grado di crescere insieme alla dimensione delle infrastrutture servite. Il rilevamento delle minacce si basa su regole trasparenti e deterministiche per ridurre i falsi positivi e il carico di lavoro non necessario per i professionisti della sicurezza.
Tra le caratteristiche principali di Panther ci sono le seguenti:
- Rilevamento di accessi non autorizzati alle risorse analizzando i log.
- Rilevamento delle minacce, implementato ricercando nei log gli indicatori che indicano problemi di sicurezza. La ricerca viene condotta utilizzando i campi dati standardizzati di Panter.
- Verifica della conformità del sistema agli standard SOC/PCI/HIPAA utilizzando Meccanismi della pantera.
- Proteggi le tue risorse cloud correggendo automaticamente gli errori di configurazione che potrebbero causare seri problemi se sfruttati da hacker.
Panther viene distribuito sul cloud AWS di un'organizzazione utilizzando AWS CloudFormation. Ciò consente all'utente di avere sempre il controllo dei propri dati.
Risultati di
Il monitoraggio della sicurezza del sistema è un compito fondamentale al giorno d'oggi. Nel risolvere questo problema, le aziende di qualsiasi dimensione possono essere aiutate da strumenti open source che offrono molte opportunità e non costano quasi nulla o sono gratuiti.
Cari lettori! Quali strumenti di monitoraggio della sicurezza utilizzate?
Fonte: habr.com