Adopsi komputasi awan sing nyebar mbantu perusahaan skala bisnis. Nanging nggunakake platform anyar uga tegese munculé ancaman anyar. Njaga tim sampeyan dhewe ing organisasi sing tanggung jawab kanggo ngawasi keamanan layanan awan dudu tugas sing gampang. Alat ngawasi sing ana larang lan alon. Padha, kanggo sawetara ombone, angel kanggo ngatur nalika nerangake ngamanake infrastruktur maya skala gedhe. Kanggo njaga keamanan awan ing tingkat sing dhuwur, perusahaan butuh alat sing kuat, fleksibel, lan intuisi sing ngluwihi sing kasedhiya sadurunge. Iki minangka teknologi open source sing migunani banget, mbantu ngirit anggaran keamanan lan digawe dening spesialis sing ngerti akeh babagan bisnise.
Artikel kasebut, terjemahan sing diterbitake saiki, nyedhiyakake ringkesan 7 alat sumber terbuka kanggo ngawasi keamanan sistem awan. Piranti kasebut dirancang kanggo nglindhungi peretas lan penjahat cyber kanthi ndeteksi anomali lan aktivitas sing ora aman.
1. Osquery
minangka sistem kanggo ngawasi lan analisis sistem operasi tingkat rendah sing ngidini para profesional keamanan nindakake pertambangan data sing kompleks nggunakake SQL. Kerangka Osquery bisa mlaku ing Linux, macOS, Windows lan FreeBSD. Iku nggambarake sistem operasi (OS) minangka basis data relasional kinerja dhuwur. Iki ngidini spesialis keamanan mriksa OS kanthi nglakokake pitakon SQL. Contone, nggunakake pitakon, sampeyan bisa ngerteni babagan proses sing mlaku, modul kernel sing dimuat, sambungan jaringan sing mbukak, ekstensi browser sing diinstal, acara hardware, lan hash file.
Kerangka Osquery digawe dening Facebook. Kode kasebut mbukak sumber ing 2014, sawise perusahaan nyadari yen ora mung awake dhewe sing butuh alat kanggo ngawasi mekanisme sistem operasi tingkat rendah. Wiwit kuwi, Osquery wis digunakake dening spesialis saka perusahaan kayata Dactiv, Google, Kolide, Trail of Bits, Uptycs, lan liya-liyane. Iku bubar yen Yayasan Linux lan Facebook bakal mbentuk dana kanggo ndhukung Osquery.
Daemon pemantauan host Osquery, sing diarani osqueryd, ngidini sampeyan nggawe jadwal pitakon sing ngumpulake data saka kabeh infrastruktur organisasi sampeyan. Daemon ngumpulake asil pitakon lan nggawe log sing nggambarake owah-owahan ing kahanan infrastruktur. Iki bisa mbantu para profesional keamanan supaya ngerti status sistem kasebut lan utamane migunani kanggo ngenali anomali. Kapabilitas agregasi log Osquery bisa digunakake kanggo mbantu sampeyan nemokake malware sing dikenal lan ora dingerteni, uga ngenali ngendi panyerang wis mlebu sistem sampeyan lan nemokake program apa sing wis diinstal. Waca liyane babagan deteksi anomali nggunakake Osquery.
2.GoAudit
sistem kasusun saka rong komponen utama. Kapisan yaiku sawetara kode tingkat kernel sing dirancang kanggo nyegat lan ngawasi panggilan sistem. Komponen kapindho yaiku daemon ruang pangguna sing diarani . Iku tanggung jawab kanggo nulis asil audit menyang disk. , sistem digawe dening perusahaan lan dirilis ing 2016, dimaksudaké kanggo ngganti auditd. Wis nambah kemampuan logging kanthi ngowahi pesen acara multi-line sing digawe dening sistem audit Linux dadi gumpalan JSON siji kanggo analisis luwih gampang. Kanthi GoAudit, sampeyan bisa langsung ngakses mekanisme level kernel liwat jaringan. Kajaba iku, sampeyan bisa ngaktifake nyaring acara minimal ing host dhewe (utawa mateni nyaring). Ing wektu sing padha, GoAudit minangka proyek sing dirancang ora mung kanggo njamin keamanan. Alat iki dirancang minangka alat sing sugih fitur kanggo dhukungan sistem utawa profesional pangembangan. Iki mbantu ngatasi masalah ing infrastruktur skala gedhe.
Sistem GoAudit ditulis nganggo Golang. Iki minangka basa sing aman lan kinerja dhuwur. Sadurunge nginstal GoAudit, priksa manawa versi Golang sampeyan luwih dhuwur tinimbang 1.7.
3. Grap
Proyek kasebut (Graph Analytics Platform) ditransfer menyang kategori open source ing Maret taun kepungkur. Iki minangka platform sing relatif anyar kanggo ndeteksi masalah keamanan, nindakake forensik komputer, lan ngasilake laporan kedadeyan. Penyerang kerep bisa nggunakake kaya model grafik, entuk kontrol sistem siji lan njelajah sistem jaringan liyane wiwit saka sistem kasebut. Mulane, cukup alami yen pembela sistem uga bakal nggunakake mekanisme adhedhasar model grafik sambungan sistem jaringan, kanthi nganggep ciri-ciri hubungan antarane sistem. Grapl nduduhake upaya kanggo ngetrapake deteksi kedadeyan lan langkah-langkah respon adhedhasar model grafik tinimbang model log.
Alat Grapl njupuk log sing gegandhengan karo keamanan (log Sysmon utawa log ing format JSON biasa) lan ngowahi dadi subgraf (nemtokake "identitas" kanggo saben simpul). Sawise iku, nggabungake subgraf dadi grafik umum (Grafik Master), sing nuduhake tumindak sing ditindakake ing lingkungan sing dianalisis. Grapl banjur mbukak Analyzers ing grafik asil nggunakake "tanda tangan penyerang" kanggo ngenali anomali lan pola curiga. Nalika analisa ngenali subgraf sing curiga, Grapl ngasilake konstruksi Engagement sing dimaksudake kanggo diselidiki. Engagement minangka kelas Python sing bisa dimuat, contone, menyang Jupyter Notebook sing disebarake ing lingkungan AWS. Kajaba iku, Grapl bisa nambah skala pangumpulan informasi kanggo investigasi kedadeyan liwat ekspansi grafik.
Yen sampeyan pengin luwih ngerti Grapl, sampeyan bisa ndeleng video menarik - ngrekam kinerja saka BSides Las Vegas 2019.
4. OSSEC
minangka proyek sing diadegake ing taun 2004. Proyek iki, ing umum, bisa ditondoi minangka platform pemantauan keamanan sumber terbuka sing dirancang kanggo analisis host lan deteksi gangguan. OSSEC diundhuh luwih saka 500000 kaping saben taun. Platform iki digunakake utamane minangka sarana kanggo ndeteksi gangguan ing server. Kajaba iku, kita ngomong babagan sistem lokal lan awan. OSSEC uga asring digunakake minangka alat kanggo mriksa log pemantauan lan analisis firewall, sistem deteksi intrusi, server web, lan uga kanggo sinau log otentikasi.
OSSEC nggabungake kemampuan Sistem Deteksi Intrusi Berbasis Host (HIDS) karo Sistem Manajemen Insiden Keamanan (SIM) lan Sistem Informasi Keamanan lan Manajemen Acara (SIEM). . OSSEC uga bisa ngawasi integritas file ing wektu nyata. Iki, contone, ngawasi pendaptaran Windows lan ndeteksi rootkit. OSSEC bisa menehi kabar marang para pemangku kepentingan babagan masalah sing dideteksi ing wektu nyata lan mbantu kanthi cepet nanggapi ancaman sing dideteksi. Platform iki ndhukung Microsoft Windows lan sistem paling modern kaya Unix, kalebu Linux, FreeBSD, OpenBSD lan Solaris.
Platform OSSEC kasusun saka entitas kontrol pusat, manajer, digunakake kanggo nampa lan ngawasi informasi saka agen (program cilik sing diinstal ing sistem sing kudu dipantau). Manajer diinstal ing sistem Linux, sing nyimpen database sing digunakake kanggo mriksa integritas file. Uga nyimpen log lan cathetan acara lan asil audit sistem.
Proyek OSSEC saiki didhukung dening Atomicorp. Perusahaan ngawasi versi open source gratis, lan, saliyane, nawakake versi komersial saka produk. podcast ing ngendi manajer proyek OSSEC ngomong babagan versi paling anyar saka sistem - OSSEC 3.0. Uga ngomong babagan sejarah proyek kasebut, lan kepiye bedane karo sistem komersial modern sing digunakake ing bidang keamanan komputer.
5. meerkat
minangka proyek open source sing fokus kanggo ngrampungake masalah utama keamanan komputer. Utamane, kalebu sistem deteksi gangguan, sistem pencegahan gangguan, lan alat pemantauan keamanan jaringan.
Produk iki muncul ing 2009. Pakaryane adhedhasar aturan. Sing, sing nggunakake duwe kesempatan kanggo njlèntrèhaké fitur tartamtu saka lalu lintas jaringan. Yen aturan wis micu, Suricata ngasilake kabar, mblokir utawa mungkasi sambungan curiga, kang, maneh, gumantung ing aturan kasebut. Proyek kasebut uga ndhukung operasi multi-threaded. Iki ndadekake iku bisa kanggo cepet proses nomer akeh aturan ing jaringan sing nggawa volume gedhe saka lalu lintas. Thanks kanggo dhukungan multi-threading, server sing biasa wae bisa nganalisa lalu lintas lelungan kanthi kacepetan 10 Gbit / s. Ing kasus iki, administrator ora kudu mbatesi set aturan sing digunakake kanggo analisis lalu lintas. Suricata uga ndhukung hashing lan njupuk file.
Suricata bisa dikonfigurasi kanggo mbukak ing server biasa utawa ing mesin virtual, kayata AWS, nggunakake fitur sing mentas dikenalake ing produk .
Proyek kasebut ndhukung skrip Lua, sing bisa digunakake kanggo nggawe logika rumit lan rinci kanggo nganalisa tandha ancaman.
Proyek Suricata dikelola dening Open Information Security Foundation (OISF).
6. Cewek (Bro)
Kaya Suricata, (proyèk iki biyèn diarani Bro lan diganti jenengé Zeek ing BroCon 2018) uga minangka sistem deteksi gangguan lan alat ngawasi keamanan jaringan sing bisa ndeteksi anomali kayata aktivitas sing curiga utawa mbebayani. Zeek beda karo IDS tradisional, ora kaya sistem adhedhasar aturan sing ndeteksi pengecualian, Zeek uga njupuk metadata sing ana gandhengane karo apa sing kedadeyan ing jaringan. Iki ditindakake supaya luwih ngerti konteks prilaku jaringan sing ora biasa. Iki ngidini, contone, kanthi nganalisa telpon HTTP utawa prosedur kanggo ijol-ijolan sertifikat keamanan, kanggo ndeleng protokol, ing header paket, ing jeneng domain.
Yen kita nganggep Zeek minangka alat keamanan jaringan, mula kita bisa ujar manawa menehi spesialis kesempatan kanggo neliti kedadeyan kanthi sinau babagan kedadeyan sadurunge utawa sajrone kedadeyan kasebut. Zeek uga ngowahi data lalu lintas jaringan dadi acara tingkat dhuwur lan menehi kemampuan kanggo nggarap juru skrip. Juru basa ndhukung basa pamrograman sing digunakake kanggo sesambungan karo acara lan ngerteni apa tegese acara kasebut ing babagan keamanan jaringan. Basa pamrograman Zeek bisa digunakake kanggo ngatur cara metadata diinterpretasikake supaya cocog karo kabutuhan organisasi tartamtu. Iki ngidini sampeyan mbangun kondisi logis sing kompleks nggunakake operator AND, OR lan NOT. Iki menehi pangguna kemampuan kanggo ngatur cara analisa lingkungane. Nanging, kudu dicathet yen dibandhingake karo Suricata, Zeek bisa uga katon kaya alat sing rada rumit nalika nindakake pengintaian ancaman keamanan.
Yen sampeyan kasengsem ing rincian liyane babagan Zeek, hubungi video.
7. Panther
minangka platform cloud-native sing kuat kanggo ngawasi keamanan terus-terusan. Iki bubar ditransfer menyang kategori open source. Arsitek utama ana ing asal-usul proyek kasebut - solusi kanggo analisis log otomatis, kode sing dibukak dening Airbnb. Panther menehi pangguna sistem siji kanggo pusat ndeteksi ancaman ing kabeh lingkungan lan ngatur respon kanggo wong-wong mau. Sistem iki bisa berkembang bebarengan karo ukuran infrastruktur sing dilayani. Deteksi ancaman adhedhasar aturan sing transparan lan deterministik kanggo nyuda positip palsu lan beban kerja sing ora perlu kanggo profesional keamanan.
Antarane fitur utama Panther yaiku:
- Deteksi akses ora sah menyang sumber daya kanthi nganalisa log.
- Deteksi ancaman, ditindakake kanthi nggoleki log kanggo indikator sing nuduhake masalah keamanan. Panelusuran ditindakake nggunakake lapangan data standar Panter.
- Priksa sistem kanggo tundhuk karo standar SOC/PCI/HIPAA nggunakake Mekanisme Panther.
- Jaga sumber daya awan kanthi otomatis mbenerake kesalahan konfigurasi sing bisa nyebabake masalah serius yen dieksploitasi dening panyerang.
Panther disebarake ing awan AWS organisasi nggunakake AWS CloudFormation. Iki ngidini pangguna tansah ngontrol datane.
Hasil
Ngawasi keamanan sistem minangka tugas kritis saiki. Ing ngrampungake masalah iki, perusahaan saka ukuran apa wae bisa dibantu dening alat open source sing nyedhiyakake akeh kesempatan lan meh ora ana biaya utawa gratis.
Para pamaca ingkang kinurmatan! Apa piranti ngawasi keamanan sing sampeyan gunakake?
Source: www.habr.com