Бұлтты есептеулерді кеңінен қолдану компанияларға өз бизнесін кеңейтуге көмектеседі. Бірақ жаңа платформаларды пайдалану жаңа қауіптердің пайда болуын білдіреді. Бұлттық қызметтердің қауіпсіздігін бақылауға жауапты ұйымда жеке командаңызды сақтау оңай мәселе емес. Қолданыстағы бақылау құралдары қымбат және баяу. Кең ауқымды бұлтты инфрақұрылымды қамтамасыз ету кезінде оларды басқару белгілі бір дәрежеде қиын. Бұлттық қауіпсіздігін жоғары деңгейде сақтау үшін компанияларға бұрын қол жетімді құралдардан асып түсетін қуатты, икемді және интуитивті құралдар қажет. Мұнда қауіпсіздік бюджетін үнемдеуге көмектесетін және өз бизнесі туралы көп білетін мамандар жасайтын ашық бастапқы технологиялар өте ыңғайлы.
Бүгінгі аудармасы біз жариялап отырған мақала бұлттық жүйелердің қауіпсіздігін бақылауға арналған 7 ашық бастапқы құралға шолу жасайды. Бұл құралдар аномалиялар мен қауіпті әрекеттерді анықтау арқылы хакерлер мен киберқылмыскерлерден қорғауға арналған.
1. Сұрау
қауіпсіздік мамандарына SQL көмегімен күрделі деректерді өңдеуді жүргізуге мүмкіндік беретін операциялық жүйелерді төмен деңгейлі бақылау және талдау жүйесі болып табылады. Osquery жүйесі Linux, macOS, Windows және FreeBSD жүйелерінде жұмыс істей алады. Ол операциялық жүйені (ОЖ) өнімділігі жоғары реляциялық деректер базасы ретінде көрсетеді. Бұл қауіпсіздік мамандарына SQL сұрауларын орындау арқылы ОЖ-ны тексеруге мүмкіндік береді. Мысалы, сұрауды пайдалана отырып, сіз іске қосылған процестер, жүктелген ядро модульдері, ашық желі қосылымдары, орнатылған браузер кеңейтімдері, аппараттық құрал оқиғалары және файл хэштері туралы біле аласыз.
Osquery негізін Facebook жасаған. Оның коды 2014 жылы ашық бастапқы коды болды, компания операциялық жүйелердің төмен деңгейлі механизмдерін бақылау үшін құралдардың өзі ғана қажет емес екенін түсінгеннен кейін. Содан бері Osquery-ді Dactiv, Google, Kolide, Trail of Bits, Uptycs және басқа да компаниялардың мамандары пайдаланады. Жақында болды Linux Foundation және Facebook Osquery қолдау қорын құрмақшы.
osqueryd деп аталатын Osquery хост бақылау демоны ұйымыңыздың барлық инфрақұрылымынан деректерді жинайтын сұрауларды жоспарлауға мүмкіндік береді. Демон сұрау нәтижелерін жинайды және инфрақұрылым күйіндегі өзгерістерді көрсететін журналдарды жасайды. Бұл қауіпсіздік мамандарына жүйенің күйінен хабардар болуға көмектеседі және аномалияларды анықтау үшін әсіресе пайдалы. Osquery журналын біріктіру мүмкіндіктері белгілі және белгісіз зиянды бағдарламаларды табуға, сондай-ақ шабуылдаушылар жүйеңізге қай жерден кіргенін анықтауға және олар орнатқан бағдарламаларды табуға көмектесу үшін пайдаланылуы мүмкін. Osquery көмегімен аномалияны анықтау туралы толығырақ оқыңыз.
2.GoAudit
жүйе екі негізгі компоненттен тұрады. Біріншісі - жүйелік қоңырауларды ұстауға және бақылауға арналған ядро деңгейіндегі кейбір код. Екінші құрамдас пайдаланушының кеңістігі демоны деп аталады . Ол аудит нәтижелерін дискіге жазуға жауапты. , компания жасаған жүйе және 2016 жылы шығарылған, аудитті ауыстыруға арналған. Ол оңай талдау үшін Linux аудит жүйесі арқылы жасалған көп жолды оқиға хабарларын жалғыз JSON блоктарына түрлендіру арқылы журнал жүргізу мүмкіндіктерін жақсартты. GoAudit көмегімен сіз желі арқылы ядро деңгейіндегі механизмдерге тікелей қол жеткізе аласыз. Сонымен қатар, сіз хосттың өзінде ең аз оқиғаны сүзуді қоса аласыз (немесе сүзуді толығымен өшіре аласыз). Сонымен қатар, GoAudit тек қауіпсіздікті қамтамасыз ету үшін ғана емес жобаланған жоба. Бұл құрал жүйені қолдау немесе әзірлеу мамандарына арналған мүмкіндіктерге бай құрал ретінде жасалған. Ол ауқымды инфрақұрылымдардағы проблемалармен күресуге көмектеседі.
GoAudit жүйесі Голанг тілінде жазылған. Бұл типке қауіпсіз және өнімділігі жоғары тіл. GoAudit қолданбасын орнатпас бұрын, Golang нұсқасының 1.7-ден жоғары екенін тексеріңіз.
3. Grapl
Жоба (Graph Analytics Platform) өткен жылдың наурыз айында ашық бастапқы код санатына ауыстырылды. Бұл қауіпсіздік мәселелерін анықтауға, компьютерлік сот сараптамасын жүргізуге және инциденттер туралы есептерді шығаруға арналған салыстырмалы түрде жаңа платформа. Шабуыл жасаушылар жиі графикалық модель сияқты бірдеңені пайдаланып жұмыс істейді, бір жүйені бақылауға алады және сол жүйеден бастап басқа желілік жүйелерді зерттейді. Сондықтан жүйе қорғаушылары жүйелер арасындағы байланыстардың ерекшеліктерін ескере отырып, желілік жүйелердің қосылу графигі моделіне негізделген механизмді де қолдануы әбден заңды. Grapl журнал үлгісіне емес, графикалық үлгіге негізделген оқиғаны анықтау және әрекет ету шараларын жүзеге асыру әрекетін көрсетеді.
Grapl құралы қауіпсіздікке қатысты журналдарды (Sysmon журналдары немесе кәдімгі JSON пішіміндегі журналдар) алады және оларды ішкі графтарға түрлендіреді (әр түйін үшін «сәйкестікті» анықтау). Осыдан кейін ол ішкі графтарды жалпы графикке біріктіреді (Master Graph), ол талданатын орталарда орындалатын әрекеттерді көрсетеді. Содан кейін Grapl аномалиялар мен күдікті үлгілерді анықтау үшін «шабуылдаушы қолтаңбалары» арқылы алынған графикте анализаторларды іске қосады. Анализатор күдікті субграфты анықтаған кезде, Grapl зерттеуге арналған Engagement құрылымын жасайды. Engagement – мысалы, AWS ортасында орналастырылған Jupyter жазу кітапшасына жүктеуге болатын Python сыныбы. Grapl, сонымен қатар, графикті кеңейту арқылы оқиғаны тергеу үшін ақпарат жинау ауқымын ұлғайта алады.
Егер сіз Graplды жақсы түсінгіңіз келсе, қарап шығуға болады қызықты бейне - BSides Las Vegas 2019 спектаклінің жазбасы.
4. OSSEC
2004 жылы құрылған жоба. Бұл жобаны, жалпы алғанда, хостты талдауға және енуді анықтауға арналған ашық бастапқы қауіпсіздік мониторингі платформасы ретінде сипаттауға болады. OSSEC жылына 500000 XNUMX-нан астам рет жүктеледі. Бұл платформа негізінен серверлерге кіруді анықтау құралы ретінде пайдаланылады. Сонымен қатар, біз жергілікті және бұлтты жүйелер туралы айтып отырмыз. OSSEC сонымен қатар брандмауэрлердің, басып кіруді анықтау жүйелерінің, веб-серверлердің мониторингі мен талдау журналдарын зерттеуге, сондай-ақ аутентификация журналдарын зерттеуге арналған құрал ретінде жиі пайдаланылады.
OSSEC хост негізіндегі шабуылды анықтау жүйесінің (HIDS) мүмкіндіктерін қауіпсіздік инциденттерін басқару (SIM) және қауіпсіздік ақпараты мен оқиғаларды басқару (SIEM) жүйесімен біріктіреді. . OSSEC сонымен қатар нақты уақытта файлдың тұтастығын бақылай алады. Бұл, мысалы, Windows тізілімін бақылайды және руткиттерді анықтайды. OSSEC нақты уақытта анықталған мәселелер туралы мүдделі тараптарды хабардар ете алады және анықталған қауіптерге жылдам әрекет етуге көмектеседі. Бұл платформа Microsoft Windows жүйесін және Linux, FreeBSD, OpenBSD және Solaris сияқты заманауи Unix тәрізді жүйелердің көпшілігін қолдайды.
OSSEC платформасы агенттерден (бақылауды қажет ететін жүйелерде орнатылған шағын бағдарламалар) ақпаратты қабылдау және бақылау үшін пайдаланылатын орталық басқарушы субъектіден, менеджерден тұрады. Менеджер файлдардың тұтастығын тексеру үшін пайдаланылатын дерекқорды сақтайтын Linux жүйесінде орнатылған. Ол сондай-ақ оқиғалардың журналдары мен жазбаларын және жүйе аудитінің нәтижелерін сақтайды.
OSSEC жобасын қазіргі уақытта Atomicorp қолдап отыр. Компания тегін ашық бастапқы нұсқаны қадағалайды, сонымен қатар ұсынады өнімнің коммерциялық нұсқасы. OSSEC жоба менеджері жүйенің соңғы нұсқасы - OSSEC 3.0 туралы айтатын подкаст. Сондай-ақ жобаның тарихы, оның компьютерлік қауіпсіздік саласында қолданылатын заманауи коммерциялық жүйелерден айырмашылығы туралы айтылады.
5. Мырқат
компьютерлік қауіпсіздіктің негізгі мәселелерін шешуге бағытталған ашық бастапқы жоба болып табылады. Атап айтқанда, ол кіруді анықтау жүйесін, енуді болдырмау жүйесін және желі қауіпсіздігін бақылау құралын қамтиды.
Бұл өнім 2009 жылы пайда болды. Оның жұмысы ережелерге негізделген. Яғни, оны пайдаланатын адам желілік трафиктің белгілі бір ерекшеліктерін сипаттауға мүмкіндік алады. Ереже іске қосылса, Suricata күдікті қосылымды блоктайтын немесе тоқтататын хабарландыру жасайды, ол қайтадан көрсетілген ережелерге байланысты. Жоба сонымен қатар көп ағынды операцияны қолдайды. Бұл трафиктің үлкен көлемін тасымалдайтын желілерде көптеген ережелерді жылдам өңдеуге мүмкіндік береді. Көп ағынды қолдаудың арқасында кәдімгі сервер 10 Гбит/с жылдамдықпен жүретін трафикті сәтті талдай алады. Бұл жағдайда әкімші трафикті талдау үшін қолданылатын ережелер жинағын шектеуге міндетті емес. Suricata сонымен қатар хэштеу және файлдарды іздеуді қолдайды.
Suricata өнімде жақында енгізілген мүмкіндікті пайдаланып, кәдімгі серверлерде немесе AWS сияқты виртуалды машиналарда жұмыс істейтін етіп конфигурациялауға болады .
Жоба қауіпті қолтаңбаларды талдау үшін күрделі және егжей-тегжейлі логиканы жасау үшін пайдаланылуы мүмкін Lua сценарийлерін қолдайды.
Suricata жобасын Ашық ақпараттық қауіпсіздік қоры (OISF) басқарады.
6. Зек (аға)
Суиката сияқты, (бұл жоба бұрын Bro деп аталды және BroCon 2018-те Zeek деп өзгертілді) сонымен қатар күдікті немесе қауіпті әрекет сияқты ауытқуларды анықтай алатын шабуылды анықтау жүйесі және желі қауіпсіздігін бақылау құралы болып табылады. Zeek дәстүрлі IDS-тен ерекшеліктерді анықтайтын ережеге негізделген жүйелерден айырмашылығы, Zeek желіде болып жатқан оқиғалармен байланысты метадеректерді де түсіреді. Бұл әдеттен тыс желі әрекетінің контекстін жақсырақ түсіну үшін жасалады. Бұл, мысалы, HTTP қоңырауын немесе қауіпсіздік сертификаттарын алмасу процедурасын талдау арқылы протоколды, пакет тақырыптарын, домен атауларын қарауға мүмкіндік береді.
Егер біз Zeek-ті желілік қауіпсіздік құралы ретінде қарастырсақ, онда ол маманға оқиғаға дейін немесе оқиға кезінде не болғанын білу арқылы оқиғаны зерттеуге мүмкіндік береді деп айта аламыз. Zeek сонымен қатар желілік трафик деректерін жоғары деңгейлі оқиғаларға түрлендіреді және сценарий аудармашымен жұмыс істеу мүмкіндігін береді. Интерпретатор оқиғалармен әрекеттесу және желі қауіпсіздігі тұрғысынан бұл оқиғалардың нақты нені білдіретінін анықтау үшін қолданылатын бағдарламалау тілін қолдайды. Zeek бағдарламалау тілін белгілі бір ұйымның қажеттіліктеріне сәйкес метадеректердің интерпретациялану жолын теңшеу үшін пайдалануға болады. Ол ЖӘНЕ, НЕМЕСЕ және ЕМЕС операторларының көмегімен күрделі логикалық шарттарды құруға мүмкіндік береді. Бұл пайдаланушыларға олардың орталары қалай талданатынын теңшеу мүмкіндігін береді. Дегенмен, Суикатамен салыстырғанда, Зеек қауіпсіздікке қауіп төндіретін барлауды жүргізу кезінде өте күрделі құрал болып көрінуі мүмкін екенін атап өткен жөн.
Егер сізді Zeek туралы көбірек білгіңіз келсе, хабарласыңыз бейне.
7. Пантера
үздіксіз қауіпсіздік мониторингі үшін қуатты, жергілікті бұлттық платформа болып табылады. Ол жақында ашық бастапқы код санатына ауыстырылды. Басты сәулетші жобаның бастауында — кодын Airbnb ашқан автоматтандырылған журналды талдау шешімдері. Panther пайдаланушыға барлық ортадағы қауіптерді орталықтандырылған анықтау және оларға жауап беруді ұйымдастыру үшін бірыңғай жүйені береді. Бұл жүйе қызмет көрсетілетін инфрақұрылымның көлемімен бірге өсуге қабілетті. Қауіпті анықтау жалған позитивтерді және қауіпсіздік мамандары үшін қажетсіз жұмыс жүктемесін азайту үшін мөлдір, детерминирленген ережелерге негізделген.
Пантераның негізгі ерекшеліктеріне мыналар жатады:
- Журналдарды талдау арқылы ресурстарға рұқсатсыз кіруді анықтау.
- Қауіпті анықтау, қауіпсіздік мәселелерін көрсететін көрсеткіштер үшін журналдарды іздеу арқылы жүзеге асырылады. Іздеу Panter стандартталған деректер өрістерін пайдалану арқылы жүргізіледі.
- Жүйені SOC/PCI/HIPAA стандарттарына сәйкестігін тексеру Пантера механизмдері.
- Зиянкестер пайдаланса, елеулі мәселелер тудыруы мүмкін конфигурация қателерін автоматты түрде түзету арқылы бұлттық ресурстарды қорғаңыз.
Panther AWS CloudFormation көмегімен ұйымның AWS бұлтында орналастырылған. Бұл пайдаланушыға әрқашан өз деректерін бақылауға мүмкіндік береді.
Нәтижелері
Жүйе қауіпсіздігін бақылау бүгінгі күннің маңызды міндеті болып табылады. Бұл мәселені шешуде кез келген көлемдегі компанияларға көптеген мүмкіндіктер беретін және ақысыз немесе ақысыз болатын ашық бастапқы құралдар көмектесе алады.
Құрметті оқырмандар! Қауіпсіздікті бақылаудың қандай құралдарын пайдаланасыз?
Ақпарат көзі: www.habr.com