7 ღია კოდის ინსტრუმენტი ღრუბლოვანი სისტემების უსაფრთხოების მონიტორინგისთვის, რომელთა ცოდნაც ღირს

Cloud Computing-ის ფართო გამოყენება ეხმარება კომპანიებს თავიანთი ბიზნესის მასშტაბირებაში. მაგრამ ახალი პლატფორმების გამოყენება ასევე ნიშნავს ახალი საფრთხეების გაჩენას. საკუთარი გუნდის შენარჩუნება ორგანიზაციაში, რომელიც პასუხისმგებელია ღრუბლოვანი სერვისების უსაფრთხოების მონიტორინგზე, ადვილი საქმე არ არის. არსებული მონიტორინგის ხელსაწყოები ძვირი და ნელია. მათი მართვა, გარკვეულწილად, რთულია, როდესაც საქმე ეხება ფართომასშტაბიანი ღრუბლოვანი ინფრასტრუქტურის დაცვას. ღრუბლოვანი უსაფრთხოების მაღალ დონეზე შესანარჩუნებლად, კომპანიებს სჭირდებათ ძლიერი, მოქნილი და ინტუიციური ხელსაწყოები, რომლებიც სცილდება ადრე არსებულს. ეს არის ის, სადაც ღია კოდის ტექნოლოგიები ძალიან მოსახერხებელია, რაც ხელს უწყობს უსაფრთხოების ბიუჯეტის დაზოგვას და შექმნილია სპეციალისტების მიერ, რომლებმაც ბევრი რამ იციან თავიანთი ბიზნესის შესახებ.

სტატიაში, რომლის თარგმანსაც დღეს ვაქვეყნებთ, მოცემულია ღრუბლოვანი სისტემების უსაფრთხოების მონიტორინგის 7 ღია კოდის ინსტრუმენტის მიმოხილვა. ეს ხელსაწყოები შექმნილია ჰაკერებისა და კიბერკრიმინალებისგან დასაცავად ანომალიებისა და სახიფათო მოქმედებების გამოვლენით.

1. ოსკვერი

ოსკვერი არის ოპერაციული სისტემების დაბალი დონის მონიტორინგისა და ანალიზის სისტემა, რომელიც უსაფრთხოების პროფესიონალებს საშუალებას აძლევს განახორციელონ კომპლექსური მონაცემების მოპოვება SQL-ის გამოყენებით. Osquery Framework შეიძლება იმუშაოს Linux-ზე, macOS-ზე, Windows-სა და FreeBSD-ზე. ის წარმოადგენს ოპერაციულ სისტემას (OS) როგორც მაღალი ხარისხის ურთიერთობით მონაცემთა ბაზას. ეს საშუალებას აძლევს უსაფრთხოების სპეციალისტებს შეამოწმონ OS SQL მოთხოვნების გაშვებით. მაგალითად, მოთხოვნის გამოყენებით, შეგიძლიათ გაიგოთ გაშვებული პროცესების, ჩატვირთული ბირთვის მოდულების, ღია ქსელის კავშირების, დაინსტალირებული ბრაუზერის გაფართოებების, ტექნიკის მოვლენებისა და ფაილების ჰეშების შესახებ.

Osquery Framework შეიქმნა Facebook-ის მიერ. მისი კოდი ღია კოდირებული იყო 2014 წელს, მას შემდეგ რაც კომპანიამ გააცნობიერა, რომ მხოლოდ თავად არ სჭირდებოდა ინსტრუმენტები ოპერაციული სისტემების დაბალი დონის მექანიზმების მონიტორინგისთვის. მას შემდეგ Osquery-ს იყენებენ ისეთი კომპანიების სპეციალისტები, როგორიცაა Dactiv, Google, Kolide, Trail of Bits, Uptycs და მრავალი სხვა. ცოტა ხნის წინ იყო გამოაცხადა რომ Linux Foundation და Facebook აპირებენ ფონდის შექმნას Osquery-ის მხარდასაჭერად.

Osquery-ის მასპინძელი მონიტორინგის დემონი, სახელწოდებით osqueryd, საშუალებას გაძლევთ დაგეგმოთ მოთხოვნები, რომლებიც აგროვებს მონაცემებს თქვენი ორგანიზაციის ინფრასტრუქტურიდან. დემონი აგროვებს შეკითხვის შედეგებს და ქმნის ჟურნალებს, რომლებიც ასახავს ინფრასტრუქტურის მდგომარეობის ცვლილებებს. ეს შეიძლება დაეხმაროს უსაფრთხოების პროფესიონალებს სისტემის სტატუსს და განსაკუთრებით სასარგებლოა ანომალიების იდენტიფიცირებისთვის. Osquery-ის ჟურნალის აგრეგაციის შესაძლებლობები შეიძლება გამოყენებულ იქნას, რათა დაგეხმაროთ იპოვოთ ცნობილი და უცნობი მავნე პროგრამები, ასევე დაადგინოთ, თუ სად შევიდნენ თავდამსხმელები თქვენს სისტემაში და იპოვოთ რა პროგრამები დააინსტალირეს. აქ წაიკითხეთ მეტი ანომალიის გამოვლენის შესახებ Osquery-ის გამოყენებით.

2. GoAudit

სისტემის Linux აუდიტი შედგება ორი ძირითადი კომპონენტისგან. პირველი არის ბირთვის დონის კოდი, რომელიც შექმნილია სისტემის ზარების ჩასარიცხად და მონიტორინგისთვის. მეორე კომპონენტი არის მომხმარებლის სივრცის დემონი, რომელსაც ე.წ აუდიტი. ის პასუხისმგებელია აუდიტის შედეგების დისკზე ჩაწერაზე. GoAudit, კომპანიის მიერ შექმნილი სისტემა Slack და გამოვიდა 2016 წელს, რომელიც განკუთვნილია აუდიტის ჩანაცვლებისთვის. მან გააუმჯობესა ლოგირების შესაძლებლობები Linux აუდიტის სისტემის მიერ გენერირებული მრავალხაზოვანი მოვლენის შეტყობინებების კონვერტაციით ერთ JSON ბლომებად უფრო მარტივი ანალიზისთვის. GoAudit-ით, თქვენ შეგიძლიათ უშუალოდ წვდომა ბირთვის დონის მექანიზმებზე ქსელში. გარდა ამისა, თქვენ შეგიძლიათ ჩართოთ მინიმალური მოვლენის ფილტრაცია თავად ჰოსტზე (ან მთლიანად გამორთოთ ფილტრაცია). ამავდროულად, GoAudit არის პროექტი, რომელიც შექმნილია არა მხოლოდ უსაფრთხოების უზრუნველსაყოფად. ეს ინსტრუმენტი შექმნილია როგორც ფუნქციებით მდიდარი ინსტრუმენტი სისტემების მხარდაჭერის ან განვითარების პროფესიონალებისთვის. ეს ხელს უწყობს ფართომასშტაბიანი ინფრასტრუქტურის პრობლემებს.

GoAudit სისტემა დაწერილია Golang-ზე. ეს არის ტიპის უსაფრთხო და მაღალი ხარისხის ენა. GoAudit-ის ინსტალაციამდე შეამოწმეთ, რომ Golang-ის თქვენი ვერსია 1.7-ზე მაღალია.

3. გრაპლ

პროექტი გრაპლ (Graph Analytics Platform) ღია კოდის კატეგორიაში გადავიდა გასული წლის მარტში. ეს არის შედარებით ახალი პლატფორმა უსაფრთხოების საკითხების აღმოსაჩენად, კომპიუტერული სასამართლო ექსპერტიზის ჩასატარებლად და ინციდენტების შესახებ მოხსენებების შესაქმნელად. თავდამსხმელები ხშირად მუშაობენ გრაფიკული მოდელის მსგავსი რაღაცის გამოყენებით, აკონტროლებენ ერთ სისტემას და იკვლევენ სხვა ქსელურ სისტემებს ამ სისტემიდან დაწყებული. აქედან გამომდინარე, სავსებით ბუნებრივია, რომ სისტემის დამცველებმა ასევე გამოიყენონ მექანიზმი, რომელიც დაფუძნებულია ქსელური სისტემების კავშირების გრაფიკის მოდელზე, სისტემებს შორის ურთიერთობის თავისებურებების გათვალისწინებით. Grapl აჩვენებს ინციდენტის გამოვლენისა და რეაგირების ზომების განხორციელების მცდელობას, რომელიც ეფუძნება გრაფიკის მოდელს და არა ჟურნალის მოდელს.

Grapl ინსტრუმენტი იღებს უსაფრთხოებასთან დაკავშირებულ ჟურნალებს (Sysmon ჟურნალები ან ჟურნალები რეგულარულ JSON ფორმატში) და გარდაქმნის მათ ქვეგრაფებად (განსაზღვრავს „იდენტურობას“ თითოეული კვანძისთვის). ამის შემდეგ ის აერთიანებს ქვეგრაფებს საერთო გრაფაში (Master Graph), რომელიც წარმოადგენს გაანალიზებულ გარემოში შესრულებულ მოქმედებებს. შემდეგ Grapl აწარმოებს ანალიზატორებს მიღებულ გრაფიკზე „თავდამსხმელის ხელმოწერების“ გამოყენებით ანომალიებისა და საეჭვო შაბლონების დასადგენად. როდესაც ანალიზატორი ამოიცნობს საეჭვო ქვეგრაფს, Grapl წარმოქმნის ჩართულობის კონსტრუქტს, რომელიც განკუთვნილია გამოკვლევისთვის. Engagement არის პითონის კლასი, რომელიც შეიძლება ჩაიტვირთოს, მაგალითად, Jupyter Notebook-ში, რომელიც განლაგებულია AWS გარემოში. გარდა ამისა, Grapl-ს შეუძლია გაზარდოს ინფორმაციის შეგროვების მასშტაბი ინციდენტის გამოძიებისთვის გრაფიკის გაფართოების გზით.

თუ გსურთ უკეთ გაიგოთ Grapl, შეგიძლიათ გადახედოთ ამ საინტერესო ვიდეო - სპექტაკლის ჩანაწერი BSides Las Vegas 2019-დან.

4. OSSEC

OSSEC არის პროექტი, რომელიც დაარსდა 2004 წელს. ეს პროექტი, ზოგადად, შეიძლება დახასიათდეს, როგორც ღია კოდის უსაფრთხოების მონიტორინგის პლატფორმა, რომელიც შექმნილია ჰოსტის ანალიზისა და შეჭრის აღმოჩენისთვის. OSSEC იტვირთება წელიწადში 500000-ზე მეტჯერ. ეს პლატფორმა ძირითადად გამოიყენება სერვერებზე შეჭრის აღმოსაჩენად. უფრო მეტიც, ჩვენ ვსაუბრობთ როგორც ლოკალურ, ასევე ღრუბლოვან სისტემებზე. OSSEC ასევე ხშირად გამოიყენება, როგორც ინსტრუმენტი Firewall-ების, შეჭრის აღმოჩენის სისტემების, ვებ სერვერების მონიტორინგისა და ანალიზის ჟურნალების შესასწავლად და ასევე ავთენტიფიკაციის ჟურნალების შესასწავლად.

OSSEC აერთიანებს ჰოსტზე დაფუძნებული შეჭრის გამოვლენის სისტემის (HIDS) შესაძლებლობებს უსაფრთხოების ინციდენტების მართვის (SIM) და უსაფრთხოების ინფორმაციისა და მოვლენის მართვის (SIEM) სისტემებთან. OSSEC-ს ასევე შეუძლია ფაილის მთლიანობის მონიტორინგი რეალურ დროში. ეს, მაგალითად, აკონტროლებს Windows რეესტრს და აღმოაჩენს rootkits-ს. OSSEC-ს შეუძლია რეალურ დროში აცნობოს დაინტერესებულ მხარეებს აღმოჩენილი პრობლემების შესახებ და ეხმარება აღმოჩენილ საფრთხეებზე სწრაფად რეაგირებაში. ეს პლატფორმა მხარს უჭერს Microsoft Windows-ს და ყველაზე თანამედროვე Unix-ის მსგავს სისტემებს, მათ შორის Linux, FreeBSD, OpenBSD და Solaris.

OSSEC პლატფორმა შედგება ცენტრალური კონტროლის ერთეულისგან, მენეჯერისგან, რომელიც გამოიყენება აგენტებისგან ინფორმაციის მისაღებად და მონიტორინგისთვის (სისტემებზე დაინსტალირებული მცირე პროგრამები, რომლებიც საჭიროებენ მონიტორინგს). მენეჯერი დაინსტალირებულია Linux სისტემაზე, რომელიც ინახავს მონაცემთა ბაზას, რომელიც გამოიყენება ფაილების მთლიანობის შესამოწმებლად. ის ასევე ინახავს მოვლენებს და ჩანაწერებს და სისტემის აუდიტის შედეგებს.

OSSEC პროექტს ამჟამად მხარს უჭერს Atomicorp. კომპანია ზედამხედველობს უფასო ღია კოდის ვერსიას და, გარდა ამისა, სთავაზობს გაფართოვდა პროდუქტის კომერციული ვერსია. აქ პოდკასტი, რომელშიც OSSEC პროექტის მენეჯერი საუბრობს სისტემის უახლეს ვერსიაზე - OSSEC 3.0. იგი ასევე საუბრობს პროექტის ისტორიაზე და იმაზე, თუ როგორ განსხვავდება იგი კომპიუტერული უსაფრთხოების სფეროში გამოყენებული თანამედროვე კომერციული სისტემებისგან.

5. meerkat

სურიკატა არის ღია კოდის პროექტი, რომელიც ორიენტირებულია კომპიუტერული უსაფრთხოების ძირითადი პრობლემების გადაჭრაზე. კერძოდ, ის მოიცავს შეჭრის აღმოჩენის სისტემას, შეჭრის პრევენციის სისტემას და ქსელის უსაფრთხოების მონიტორინგის ინსტრუმენტს.

ეს პროდუქტი 2009 წელს გამოჩნდა. მისი ნამუშევარი ეფუძნება წესებს. ანუ მას, ვინც მას იყენებს, აქვს შესაძლებლობა აღწეროს ქსელის ტრაფიკის გარკვეული მახასიათებლები. თუ წესი გააქტიურებულია, Suricata წარმოქმნის შეტყობინებას, ბლოკავს ან წყვეტს საეჭვო კავშირს, რაც, ისევ და ისევ, დამოკიდებულია მითითებულ წესებზე. პროექტი ასევე მხარს უჭერს მრავალძაფის ოპერაციას. ეს შესაძლებელს ხდის დიდი რაოდენობით წესების სწრაფად დამუშავებას ქსელებში, რომლებიც ატარებენ დიდი მოცულობის ტრაფიკს. მრავალმხრივი მხარდაჭერის წყალობით, სრულიად ჩვეულებრივ სერვერს შეუძლია წარმატებით გააანალიზოს ტრაფიკი, რომელიც მოძრაობს 10 გბიტ/წმ სიჩქარით. ამ შემთხვევაში, ადმინისტრატორს არ სჭირდება ტრაფიკის ანალიზისთვის გამოყენებული წესების შეზღუდვა. Suricata ასევე მხარს უჭერს ჰეშინგს და ფაილების მოძიებას.

Suricata შეიძლება კონფიგურირებული იყოს ჩვეულებრივ სერვერებზე ან ვირტუალურ მანქანებზე, როგორიცაა AWS, პროდუქტში ახლახან დანერგილი ფუნქციის გამოყენებით. მოძრაობის მონიტორინგი.

პროექტი მხარს უჭერს Lua სკრიპტებს, რომლებიც შეიძლება გამოყენებულ იქნას რთული და დეტალური ლოგიკის შესაქმნელად საფრთხის ხელმოწერების გასაანალიზებლად.

Suricata პროექტს მართავს ღია ინფორმაციის უსაფრთხოების ფონდი (OISF).

6. ზიკი (ძმა)

სურიკატას მსგავსად, ზეეკი (ამ პროექტს ადრე ერქვა Bro და ეწოდა Zeek BroCon 2018-ზე) ასევე არის შეჭრის აღმოჩენის სისტემა და ქსელის უსაფრთხოების მონიტორინგის ინსტრუმენტი, რომელსაც შეუძლია აღმოაჩინოს ისეთი ანომალიები, როგორიცაა საეჭვო ან საშიში აქტივობა. Zeek განსხვავდება ტრადიციული IDS-ისგან იმით, რომ წესებზე დაფუძნებული სისტემებისგან განსხვავებით, რომლებიც აღმოაჩენენ გამონაკლისებს, Zeek ასევე იჭერს მეტამონაცემებს, რომლებიც დაკავშირებულია ქსელში მიმდინარე პროცესებთან. ეს კეთდება იმისათვის, რომ უკეთ გავიგოთ ქსელის უჩვეულო ქცევის კონტექსტი. ეს საშუალებას იძლევა, მაგალითად, HTTP ზარის ან უსაფრთხოების სერთიფიკატების გაცვლის პროცედურის ანალიზით, დაათვალიეროთ პროტოკოლი, პაკეტის სათაურები, დომენის სახელები.

თუ Zeek-ს განვიხილავთ, როგორც ქსელის უსაფრთხოების ინსტრუმენტს, მაშინ შეგვიძლია ვთქვათ, რომ ის აძლევს სპეციალისტს შესაძლებლობას გამოიძიოს ინციდენტი ინციდენტის დაწყებამდე ან მის დროს მომხდარის შესწავლით. Zeek ასევე გარდაქმნის ქსელის ტრაფიკის მონაცემებს მაღალი დონის მოვლენებად და უზრუნველყოფს სკრიპტის თარჯიმანთან მუშაობის შესაძლებლობას. თარჯიმანი მხარს უჭერს პროგრამირების ენას, რომელიც გამოიყენება მოვლენებთან ურთიერთობისთვის და იმის გასარკვევად, თუ რას ნიშნავს ეს მოვლენები ქსელის უსაფრთხოების თვალსაზრისით. Zeek პროგრამირების ენა შეიძლება გამოყენებულ იქნას მეტამონაცემების ინტერპრეტაციის მორგებისთვის კონკრეტული ორგანიზაციის საჭიროებებისთვის. ის საშუალებას გაძლევთ შექმნათ რთული ლოგიკური პირობები AND, OR და NOT ოპერატორების გამოყენებით. ეს აძლევს მომხმარებლებს შესაძლებლობას მოახდინოს მათი გარემოს გაანალიზება. თუმცა, უნდა აღინიშნოს, რომ სურიკატასთან შედარებით, ზიკი შესაძლოა საკმაოდ რთულ იარაღად გამოიყურებოდეს უსაფრთხოების საფრთხის დაზვერვისას.

თუ თქვენ გაინტერესებთ მეტი ინფორმაცია Zeek-ის შესახებ, გთხოვთ დაგვიკავშირდეთ ამ ვიდეო.

7. პანტერა

Panther არის ძლიერი, მშობლიური ღრუბლოვანი პლატფორმა უსაფრთხოების უწყვეტი მონიტორინგისთვის. ის ახლახან გადავიდა ღია კოდის კატეგორიაში. მთავარი არქიტექტორი არის პროექტის სათავეში StreamAlert — გადაწყვეტილებები ჟურნალის ავტომატური ანალიზისთვის, რომლის კოდი გახსნილია Airbnb-ის მიერ. პანტერა მომხმარებელს აძლევს ერთიან სისტემას ყველა გარემოში საფრთხის ცენტრალურად აღმოსაჩენად და მათზე რეაგირების ორგანიზებისთვის. ამ სისტემას შეუძლია გაიზარდოს მომსახურე ინფრასტრუქტურის ზომასთან ერთად. საფრთხის გამოვლენა ეფუძნება გამჭვირვალე, დეტერმინისტულ წესებს, რათა შემცირდეს ცრუ დადებითი და არასაჭირო დატვირთვა უსაფრთხოების პროფესიონალებისთვის.

პანტერას მთავარ მახასიათებლებს შორისაა შემდეგი:

• რესურსებზე არაავტორიზებული წვდომის გამოვლენა ჟურნალების ანალიზით.
• საფრთხის გამოვლენა, განხორციელებული ჟურნალების ძიებით უსაფრთხოების პრობლემების მითითებით. ძიება ტარდება Panter-ის სტანდარტიზებული მონაცემთა ველების გამოყენებით.
• სისტემის შემოწმება SOC/PCI/HIPAA სტანდარტებთან შესაბამისობისთვის გამოყენებით ჩაშენებული პანტერების მექანიზმები.
• დაიცავით თქვენი ღრუბლოვანი რესურსები კონფიგურაციის შეცდომების ავტომატურად გასწორებით, რამაც შეიძლება სერიოზული პრობლემები გამოიწვიოს თავდამსხმელების მიერ ექსპლუატაციის შემთხვევაში.

Panther განლაგებულია ორგანიზაციის AWS ღრუბელზე AWS CloudFormation-ის გამოყენებით. ეს საშუალებას აძლევს მომხმარებელს ყოველთვის აკონტროლოს თავისი მონაცემები.

შედეგები

მონიტორინგის სისტემის უსაფრთხოების გადამწყვეტი ამოცანაა ამ დღეებში. ამ პრობლემის გადაჭრაში ნებისმიერი ზომის კომპანიებს შეუძლიათ დაეხმარონ ღია კოდის ინსტრუმენტებს, რომლებიც უამრავ შესაძლებლობებს იძლევა და თითქმის არაფერი ღირს ან უფასოა.

ძვირფასო მკითხველს! უსაფრთხოების მონიტორინგის რა საშუალებებს იყენებთ?

წყარო: www.habr.com