7 atvērtā pirmkoda rīki mākoņsistēmu drošības uzraudzībai, par kuriem ir vērts zināt

Plašā mākoņdatošanas ieviešana palīdz uzņēmumiem paplašināt savu uzņēmējdarbību. Taču jaunu platformu izmantošana nozīmē arī jaunu draudu rašanos. Savas komandas uzturēšana organizācijā, kas ir atbildīga par mākoņpakalpojumu drošības uzraudzību, nav viegls uzdevums. Esošie uzraudzības rīki ir dārgi un lēni. Tos zināmā mērā ir grūti pārvaldīt, ja runa ir par liela mēroga mākoņa infrastruktūras nodrošināšanu. Lai saglabātu mākoņdrošības līmeni augstā līmenī, uzņēmumiem ir nepieciešami jaudīgi, elastīgi un intuitīvi rīki, kas pārsniedz iepriekš pieejamo līmeni. Šeit ļoti noder atvērtā pirmkoda tehnoloģijas, kas palīdz ietaupīt drošības budžetus un tās rada speciālisti, kuri daudz zina par savu biznesu.

Rakstā, kura tulkojumu mēs šodien publicējam, ir sniegts pārskats par 7 atvērtā pirmkoda rīkiem mākoņsistēmu drošības uzraudzībai. Šie rīki ir paredzēti, lai aizsargātu pret hakeriem un kibernoziedzniekiem, atklājot anomālijas un nedrošas darbības.

1. Osquery

Osquery ir zema līmeņa operētājsistēmu uzraudzības un analīzes sistēma, kas ļauj drošības speciālistiem veikt sarežģītu datu ieguvi, izmantojot SQL. Osquery ietvars var darboties operētājsistēmās Linux, macOS, Windows un FreeBSD. Tā attēlo operētājsistēmu (OS) kā augstas veiktspējas relāciju datu bāzi. Tas ļauj drošības speciālistiem pārbaudīt OS, izpildot SQL vaicājumus. Piemēram, izmantojot vaicājumu, varat uzzināt par palaistiem procesiem, ielādētajiem kodola moduļiem, atvērtajiem tīkla savienojumiem, instalētajiem pārlūkprogrammas paplašinājumiem, aparatūras notikumiem un failu jaucējfunkcijām.

Osquery ietvaru izveidoja Facebook. Tā kods tika atvērts 2014. gadā pēc tam, kad uzņēmums saprata, ka ne tikai viņam pašam ir nepieciešami rīki, lai uzraudzītu operētājsistēmu zemā līmeņa mehānismus. Kopš tā laika Osquery ir izmantojuši tādu uzņēmumu speciālisti kā Dactiv, Google, Kolide, Trail of Bits, Uptycs un daudzi citi. Tas bija nesen paziņoja ka Linux fonds un Facebook gatavojas izveidot fondu Osquery atbalstam.

Osquery saimniekdatora pārraudzības dēmons, ko sauc par osqueryd, ļauj ieplānot vaicājumus, kas apkopo datus no visas jūsu organizācijas infrastruktūras. Dēmons apkopo vaicājumu rezultātus un izveido žurnālus, kas atspoguļo izmaiņas infrastruktūras stāvoklī. Tas var palīdzēt drošības speciālistiem sekot līdzi sistēmas statusam un ir īpaši noderīgi anomāliju noteikšanai. Osquery žurnālu apkopošanas iespējas var tikt izmantotas, lai palīdzētu atrast zināmu un nezināmu ļaunprogrammatūru, kā arī noteiktu, kur uzbrucēji ir iekļuvuši jūsu sistēmā, un atrastu, kādas programmas tie ir instalējuši. šeit ir Lasiet vairāk par anomāliju noteikšanu, izmantojot Osquery.

2.GoAudit

Sistēma Linux audits sastāv no divām galvenajām sastāvdaļām. Pirmais ir daži kodola līmeņa kodi, kas paredzēti sistēmas zvanu pārtveršanai un uzraudzībai. Otrais komponents ir lietotāja telpas dēmons, ko sauc auditd. Tas ir atbildīgs par audita rezultātu ierakstīšanu diskā. GoAudit, uzņēmuma izveidotā sistēma Ļengans un izlaists 2016. gadā, paredzēts aizstāt auditd. Tam ir uzlabotas reģistrēšanas iespējas, pārvēršot vairāku rindu notikumu ziņojumus, ko ģenerējusi Linux audita sistēma, atsevišķos JSON blokos, lai atvieglotu analīzi. Izmantojot GoAudit, tīklā var tieši piekļūt kodola līmeņa mehānismiem. Turklāt varat iespējot minimālu notikumu filtrēšanu pašā resursdatorā (vai pilnībā atspējot filtrēšanu). Tajā pašā laikā GoAudit ir projekts, kas paredzēts ne tikai drošības nodrošināšanai. Šis rīks ir izstrādāts kā ar funkcijām bagāts rīks sistēmu atbalsta vai izstrādes profesionāļiem. Tas palīdz cīnīties ar problēmām liela mēroga infrastruktūrās.

GoAudit sistēma ir uzrakstīta Golang valodā. Tā ir tipiem droša un augstas veiktspējas valoda. Pirms GoAudit instalēšanas pārbaudiet, vai jūsu Golang versija ir jaunāka par 1.7.

3. Grapl

Projekts Grapl (Graph Analytics Platform) tika pārcelta uz atvērtā pirmkoda kategoriju pagājušā gada martā. Tā ir salīdzinoši jauna platforma drošības problēmu noteikšanai, datoru kriminālistikas veikšanai un incidentu ziņojumu ģenerēšanai. Uzbrucēji bieži strādā, izmantojot kaut ko līdzīgu grafika modelim, iegūstot kontroli pār vienu sistēmu un izpētot citas tīkla sistēmas, sākot no šīs sistēmas. Tāpēc gluži dabiski, ka sistēmu aizstāvji izmantos arī mehānismu, kas balstīts uz tīkla sistēmu savienojumu grafika modeli, ņemot vērā sistēmu savstarpējo attiecību īpatnības. Grapl demonstrē mēģinājumu ieviest incidentu noteikšanas un reaģēšanas pasākumus, pamatojoties uz grafika modeli, nevis žurnāla modeli.

Grapl rīks ņem ar drošību saistītus žurnālus (Sysmon žurnālus vai žurnālus parastajā JSON formātā) un pārvērš tos apakšgrafikos (definējot katra mezgla “identitāti”). Pēc tam tas apvieno apakšgrafikus kopējā grafikā (Master Graph), kas attēlo darbības, kas veiktas analizētajā vidē. Pēc tam Grapl palaiž analizatorus iegūtajā diagrammā, izmantojot “uzbrucēju parakstus”, lai identificētu anomālijas un aizdomīgus modeļus. Kad analizators identificē aizdomīgu apakšgrafu, Grapl ģenerē iesaistes konstrukciju, kas paredzēta izmeklēšanai. Engagement ir Python klase, ko var ielādēt, piemēram, Jupyter piezīmjdatorā, kas izvietots AWS vidē. Turklāt Grapl var palielināt informācijas vākšanas mērogu incidentu izmeklēšanai, paplašinot grafiku.

Ja vēlaties labāk izprast Grapl, varat to apskatīt šis interesants video - priekšnesuma ieraksts no BSides Las Vegas 2019.

4. OSSEC

OSSEC ir projekts, kas dibināts 2004. gadā. Šo projektu kopumā var raksturot kā atvērtā koda drošības uzraudzības platformu, kas paredzēta resursdatora analīzei un ielaušanās atklāšanai. OSSEC tiek lejupielādēts vairāk nekā 500000 XNUMX reižu gadā. Šī platforma galvenokārt tiek izmantota kā līdzeklis, lai atklātu ielaušanos serveros. Turklāt mēs runājam gan par vietējām, gan mākoņsistēmām. OSSEC bieži tiek izmantots arī kā rīks ugunsmūru, ielaušanās atklāšanas sistēmu, tīmekļa serveru uzraudzības un analīzes žurnālu pārbaudei, kā arī autentifikācijas žurnālu izpētei.

OSSEC apvieno uz resursdatora balstītas ielaušanās atklāšanas sistēmas (HIDS) iespējas ar drošības incidentu pārvaldības (SIM) un drošības informācijas un notikumu pārvaldības (SIEM) sistēmu. OSSEC var arī pārraudzīt failu integritāti reāllaikā. Tas, piemēram, uzrauga Windows reģistru un nosaka sakņu komplektus. OSSEC spēj informēt ieinteresētās puses par atklātajām problēmām reāllaikā un palīdz ātri reaģēt uz atklātajiem draudiem. Šī platforma atbalsta Microsoft Windows un vismodernākās Unix līdzīgas sistēmas, tostarp Linux, FreeBSD, OpenBSD un Solaris.

OSSEC platforma sastāv no centrālās vadības vienības, pārvaldnieka, ko izmanto, lai saņemtu un pārraudzītu informāciju no aģentiem (sistēmās instalētas mazas programmas, kuras jāuzrauga). Pārvaldnieks ir instalēts Linux sistēmā, kurā tiek saglabāta datu bāze, ko izmanto failu integritātes pārbaudei. Tajā tiek glabāti arī notikumu un sistēmas audita rezultātu žurnāli un ieraksti.

OSSEC projektu pašlaik atbalsta Atomicorp. Uzņēmums pārrauga bezmaksas atvērtā pirmkoda versiju un turklāt piedāvā paplašināts produkta komerciālā versija. šeit ir podkāsts, kurā OSSEC projektu vadītājs stāsta par jaunāko sistēmas versiju – OSSEC 3.0. Tas arī stāsta par projekta vēsturi un to, kā tas atšķiras no mūsdienu komerciālajām sistēmām, ko izmanto datoru drošības jomā.

5. surikats

Surikata ir atvērtā koda projekts, kas vērsts uz galveno datoru drošības problēmu risināšanu. Jo īpaši tas ietver ielaušanās atklāšanas sistēmu, ielaušanās novēršanas sistēmu un tīkla drošības uzraudzības rīku.

Šis produkts parādījās 2009. Viņa darbs ir balstīts uz noteikumiem. Tas ir, tam, kurš to izmanto, ir iespēja aprakstīt noteiktas tīkla trafika funkcijas. Ja kārtula tiek aktivizēta, Suricata ģenerē paziņojumu, bloķējot vai pārtraucot aizdomīgo savienojumu, kas atkal ir atkarīgs no norādītajiem noteikumiem. Projekts atbalsta arī vairāku vītņu darbību. Tas ļauj ātri apstrādāt lielu skaitu noteikumu tīklos, kas nodrošina lielu trafika apjomu. Pateicoties vairāku pavedienu atbalstam, pilnīgi parasts serveris spēj veiksmīgi analizēt trafiku, kas pārvietojas ar ātrumu 10 Gbit/s. Šajā gadījumā administratoram nav jāierobežo satiksmes analīzei izmantoto noteikumu kopums. Suricata atbalsta arī jaukšanu un failu izgūšanu.

Suricata var konfigurēt tā, lai tā darbotos parastos serveros vai virtuālajās mašīnās, piemēram, AWS, izmantojot nesen ieviesto līdzekli produktā. satiksmes uzraudzību.

Projekts atbalsta Lua skriptus, kurus var izmantot, lai izveidotu sarežģītu un detalizētu loģiku draudu parakstu analīzei.

Suricata projektu pārvalda Open Information Security Foundation (OISF).

6. Zēks (brālis)

Tāpat kā Suricata, Zeek (šis projekts iepriekš tika saukts par Bro un BroCon 2018 tika pārdēvēts par Zeek) ir arī ielaušanās atklāšanas sistēma un tīkla drošības uzraudzības rīks, kas var atklāt anomālijas, piemēram, aizdomīgas vai bīstamas darbības. Zeek atšķiras no tradicionālās IDS ar to, ka atšķirībā no uz noteikumiem balstītām sistēmām, kas nosaka izņēmumus, Zeek tver arī metadatus, kas saistīti ar tīklā notiekošo. Tas tiek darīts, lai labāk izprastu neparastas tīkla darbības kontekstu. Tas ļauj, piemēram, analizējot HTTP zvanu vai drošības sertifikātu apmaiņas procedūru, aplūkot protokolu, pakešu galvenes, domēna nosaukumus.

Ja mēs uzskatām Zeek par tīkla drošības rīku, tad varam teikt, ka tas sniedz speciālistam iespēju izmeklēt incidentu, uzzinot par notikušo pirms incidenta vai tā laikā. Zeek arī pārvērš tīkla trafika datus augsta līmeņa notikumos un nodrošina iespēju strādāt ar skriptu tulku. Tulks atbalsta programmēšanas valodu, ko izmanto, lai mijiedarbotos ar notikumiem un noskaidrotu, ko tieši šie notikumi nozīmē tīkla drošības ziņā. Zeek programmēšanas valodu var izmantot, lai pielāgotu metadatu interpretāciju atbilstoši konkrētas organizācijas vajadzībām. Tas ļauj jums izveidot sarežģītus loģiskos nosacījumus, izmantojot operatorus UN, OR un NOT. Tas lietotājiem sniedz iespēju pielāgot to, kā tiek analizēta viņu vide. Tomēr jāatzīmē, ka, salīdzinot ar Suricata, Zeek var šķist diezgan sarežģīts instruments, veicot drošības apdraudējumu izlūkošanu.

Ja jūs interesē sīkāka informācija par Zeek, lūdzu sazinieties šis video.

7. Pantera

Pantera ir jaudīga, sākotnēji mākoņdatošanas platforma nepārtrauktai drošības uzraudzībai. Tas nesen tika pārveidots par atvērto avotu. Galvenais arhitekts ir projekta pirmsākumos StreamAlert — risinājumi automatizētai žurnālu analīzei, kuru kodu atvēra Airbnb. Panther nodrošina lietotājam vienotu sistēmu, lai centralizēti atklātu draudus visās vidēs un organizētu atbildes reakciju uz tiem. Šī sistēma spēj augt līdz ar apkalpojamās infrastruktūras lielumu. Draudi noteikšana ir balstīta uz pārredzamiem, deterministiskiem noteikumiem, lai samazinātu viltus pozitīvus rezultātus un nevajadzīgu darba slodzi drošības speciālistiem.

Starp galvenajām Panther iezīmēm ir šādas:

• Neatļautas piekļuves resursiem noteikšana, analizējot žurnālus.
• Draudu noteikšana, kas ieviesta, žurnālos meklējot indikatorus, kas norāda uz drošības problēmām. Meklēšana tiek veikta, izmantojot Panter standartizētos datu laukus.
• Sistēmas atbilstības SOC/PCI/HIPAA standartiem pārbaude, izmantojot iebūvēts Pantera mehānismi.
• Aizsargājiet savus mākoņa resursus, automātiski labojot konfigurācijas kļūdas, kas var radīt nopietnas problēmas, ja tās izmanto uzbrucēji.

Panther tiek izvietots organizācijas AWS mākonī, izmantojot AWS CloudFormation. Tas ļauj lietotājam vienmēr kontrolēt savus datus.

Rezultāti

Sistēmas drošības uzraudzība mūsdienās ir kritisks uzdevums. Šīs problēmas risināšanā jebkura lieluma uzņēmumiem var palīdzēt atvērtā pirmkoda rīki, kas sniedz daudz iespēju un nemaksā gandrīz neko vai ir bezmaksas.

Cienījamie lasītāji! Kādus drošības uzraudzības rīkus jūs izmantojat?

Avots: www.habr.com