ക്ലൗഡ് കമ്പ്യൂട്ടിംഗിന്റെ വ്യാപകമായ സ്വീകാര്യത കമ്പനികളെ അവരുടെ ബിസിനസ്സ് സ്കെയിൽ ചെയ്യാൻ സഹായിക്കുന്നു. എന്നാൽ പുതിയ പ്ലാറ്റ്ഫോമുകളുടെ ഉപയോഗം പുതിയ ഭീഷണികളുടെ ആവിർഭാവത്തെ അർത്ഥമാക്കുന്നു. ക്ലൗഡ് സേവനങ്ങളുടെ സുരക്ഷ നിരീക്ഷിക്കാൻ ഉത്തരവാദിത്തമുള്ള ഒരു ഓർഗനൈസേഷനിൽ നിങ്ങളുടെ സ്വന്തം ടീമിനെ നിലനിർത്തുന്നത് എളുപ്പമുള്ള കാര്യമല്ല. നിലവിലുള്ള നിരീക്ഷണ ഉപകരണങ്ങൾ ചെലവേറിയതും വേഗത കുറഞ്ഞതുമാണ്. വലിയ തോതിലുള്ള ക്ലൗഡ് ഇൻഫ്രാസ്ട്രക്ചർ സുരക്ഷിതമാക്കുമ്പോൾ അവ കൈകാര്യം ചെയ്യുന്നത് ഒരു പരിധിവരെ ബുദ്ധിമുട്ടാണ്. അവരുടെ ക്ലൗഡ് സുരക്ഷ ഉയർന്ന തലത്തിൽ നിലനിർത്തുന്നതിന്, കമ്പനികൾക്ക് മുമ്പ് ലഭ്യമായതിൽ നിന്ന് അപ്പുറം പോകുന്ന ശക്തവും വഴക്കമുള്ളതും അവബോധജന്യവുമായ ഉപകരണങ്ങൾ ആവശ്യമാണ്. ഇവിടെയാണ് ഓപ്പൺ സോഴ്സ് സാങ്കേതികവിദ്യകൾ വളരെ ഉപയോഗപ്രദമാകുന്നത്, സുരക്ഷാ ബഡ്ജറ്റുകൾ ലാഭിക്കാൻ സഹായിക്കുകയും അവരുടെ ബിസിനസിനെക്കുറിച്ച് ധാരാളം അറിയാവുന്ന സ്പെഷ്യലിസ്റ്റുകൾ സൃഷ്ടിക്കുകയും ചെയ്യുന്നു.
ക്ലൗഡ് സിസ്റ്റങ്ങളുടെ സുരക്ഷ നിരീക്ഷിക്കുന്നതിനുള്ള 7 ഓപ്പൺ സോഴ്സ് ടൂളുകളുടെ ഒരു അവലോകനം ഞങ്ങൾ ഇന്ന് പ്രസിദ്ധീകരിക്കുന്ന ലേഖനം നൽകുന്നു. അപാകതകളും സുരക്ഷിതമല്ലാത്ത പ്രവർത്തനങ്ങളും കണ്ടെത്തി ഹാക്കർമാർക്കും സൈബർ കുറ്റവാളികൾക്കും എതിരെ പരിരക്ഷിക്കുന്നതിനാണ് ഈ ഉപകരണങ്ങൾ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്.
1. ഓസ്ക്വറി
SQL ഉപയോഗിച്ച് സങ്കീർണ്ണമായ ഡാറ്റ മൈനിംഗ് നടത്താൻ സുരക്ഷാ പ്രൊഫഷണലുകളെ അനുവദിക്കുന്ന ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളുടെ താഴ്ന്ന നിലയിലുള്ള നിരീക്ഷണത്തിനും വിശകലനത്തിനുമുള്ള ഒരു സംവിധാനമാണ്. Osquery ഫ്രെയിംവർക്ക് Linux, macOS, Windows, FreeBSD എന്നിവയിൽ പ്രവർത്തിക്കാൻ കഴിയും. ഇത് ഉയർന്ന പ്രവർത്തനക്ഷമതയുള്ള റിലേഷണൽ ഡാറ്റാബേസായി ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തെ (OS) പ്രതിനിധീകരിക്കുന്നു. SQL അന്വേഷണങ്ങൾ പ്രവർത്തിപ്പിച്ച് OS പരിശോധിക്കാൻ ഇത് സുരക്ഷാ വിദഗ്ധരെ അനുവദിക്കുന്നു. ഉദാഹരണത്തിന്, ഒരു ചോദ്യം ഉപയോഗിച്ച്, റൺ ചെയ്യുന്ന പ്രക്രിയകൾ, ലോഡ് ചെയ്ത കേർണൽ മൊഡ്യൂളുകൾ, തുറന്ന നെറ്റ്വർക്ക് കണക്ഷനുകൾ, ഇൻസ്റ്റാൾ ചെയ്ത ബ്രൗസർ എക്സ്റ്റൻഷനുകൾ, ഹാർഡ്വെയർ ഇവന്റുകൾ, ഫയൽ ഹാഷുകൾ എന്നിവയെക്കുറിച്ച് നിങ്ങൾക്ക് കണ്ടെത്താനാകും.
ഓസ്ക്വറി ചട്ടക്കൂട് സൃഷ്ടിച്ചത് ഫേസ്ബുക്കാണ്. ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങളുടെ താഴ്ന്ന നിലയിലുള്ള മെക്കാനിസങ്ങൾ നിരീക്ഷിക്കാൻ ഉപകരണങ്ങൾ ആവശ്യമാണെന്ന് കമ്പനി മനസ്സിലാക്കിയതിന് ശേഷം, അതിന്റെ കോഡ് 2014 ൽ ഓപ്പൺ സോഴ്സ് ചെയ്തു. അതിനുശേഷം, Dactiv, Google, Kolide, Trail of Bits, Uptycs തുടങ്ങി നിരവധി കമ്പനികളിൽ നിന്നുള്ള സ്പെഷ്യലിസ്റ്റുകൾ Osquery ഉപയോഗിക്കുന്നു. ഈയിടെ ആയിരുന്നു ലിനക്സ് ഫൗണ്ടേഷനും ഫേസ്ബുക്കും ഓസ്ക്വറിയെ പിന്തുണയ്ക്കാൻ ഒരു ഫണ്ട് രൂപീകരിക്കാൻ പോകുന്നു.
ഓസ്ക്വറിയുടെ ഹോസ്റ്റ് മോണിറ്ററിംഗ് ഡെമൺ, ഓസ്ക്വറിഡ് എന്ന് വിളിക്കുന്നു, നിങ്ങളുടെ സ്ഥാപനത്തിന്റെ ഇൻഫ്രാസ്ട്രക്ചറിൽ ഉടനീളം ഡാറ്റ ശേഖരിക്കുന്ന ചോദ്യങ്ങൾ ഷെഡ്യൂൾ ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നു. ഡെമൺ അന്വേഷണ ഫലങ്ങൾ ശേഖരിക്കുകയും ഇൻഫ്രാസ്ട്രക്ചറിന്റെ അവസ്ഥയിലെ മാറ്റങ്ങൾ പ്രതിഫലിപ്പിക്കുന്ന ലോഗുകൾ സൃഷ്ടിക്കുകയും ചെയ്യുന്നു. ഇത് സുരക്ഷാ പ്രൊഫഷണലുകളെ സിസ്റ്റത്തിന്റെ സ്റ്റാറ്റസ് അടുത്തറിയാൻ സഹായിക്കുകയും അപാകതകൾ തിരിച്ചറിയുന്നതിന് പ്രത്യേകിച്ചും ഉപയോഗപ്രദമാവുകയും ചെയ്യും. അറിയപ്പെടുന്നതും അറിയപ്പെടാത്തതുമായ ക്ഷുദ്രവെയർ കണ്ടെത്താൻ നിങ്ങളെ സഹായിക്കുന്നതിനും ആക്രമണകാരികൾ നിങ്ങളുടെ സിസ്റ്റത്തിൽ എവിടെയാണ് പ്രവേശിച്ചതെന്ന് തിരിച്ചറിയുന്നതിനും അവർ ഇൻസ്റ്റാൾ ചെയ്ത പ്രോഗ്രാമുകൾ കണ്ടെത്തുന്നതിനും ഓസ്ക്വറിയുടെ ലോഗ് അഗ്രഗേഷൻ കഴിവുകൾ ഉപയോഗിക്കാനാകും. ഓസ്ക്വറി ഉപയോഗിച്ച് അപാകത കണ്ടെത്തലിനെക്കുറിച്ച് കൂടുതൽ വായിക്കുക.
2.GoAudit
സിസ്റ്റം രണ്ട് പ്രധാന ഘടകങ്ങൾ ഉൾക്കൊള്ളുന്നു. ആദ്യത്തേത് സിസ്റ്റം കോളുകൾ തടസ്സപ്പെടുത്താനും നിരീക്ഷിക്കാനും രൂപകൽപ്പന ചെയ്ത ചില കേർണൽ-ലെവൽ കോഡാണ്. രണ്ടാമത്തെ ഘടകം ഒരു യൂസർ സ്പേസ് ഡെമൺ ആണ് . ഓഡിറ്റ് ഫലങ്ങൾ ഡിസ്കിലേക്ക് എഴുതുന്നതിന് ഇത് ഉത്തരവാദിയാണ്. , കമ്പനി സൃഷ്ടിച്ച ഒരു സിസ്റ്റം കൂടാതെ 2016-ൽ പുറത്തിറക്കി, ഓഡിറ്റിന് പകരം വയ്ക്കാൻ ഉദ്ദേശിച്ചുള്ളതാണ്. എളുപ്പത്തിലുള്ള വിശകലനത്തിനായി ലിനക്സ് ഓഡിറ്റിംഗ് സിസ്റ്റം സൃഷ്ടിക്കുന്ന മൾട്ടി-ലൈൻ ഇവന്റ് സന്ദേശങ്ങളെ സിംഗിൾ JSON ബ്ലോബുകളായി പരിവർത്തനം ചെയ്യുന്നതിലൂടെ ഇത് ലോഗിംഗ് കഴിവുകൾ മെച്ചപ്പെടുത്തി. GoAudit ഉപയോഗിച്ച്, നിങ്ങൾക്ക് നെറ്റ്വർക്കിലൂടെ കേർണൽ-ലെവൽ മെക്കാനിസങ്ങൾ നേരിട്ട് ആക്സസ് ചെയ്യാൻ കഴിയും. കൂടാതെ, നിങ്ങൾക്ക് ഹോസ്റ്റിൽ തന്നെ കുറഞ്ഞ ഇവന്റ് ഫിൽട്ടറിംഗ് പ്രവർത്തനക്ഷമമാക്കാം (അല്ലെങ്കിൽ ഫിൽട്ടറിംഗ് പൂർണ്ണമായും പ്രവർത്തനരഹിതമാക്കുക). അതേസമയം, സുരക്ഷ ഉറപ്പാക്കാൻ മാത്രമല്ല രൂപകൽപ്പന ചെയ്ത പദ്ധതിയാണ് ഗോ ഓഡിറ്റ്. സിസ്റ്റം പിന്തുണയ്ക്കോ ഡെവലപ്മെന്റ് പ്രൊഫഷണലുകൾക്കോ വേണ്ടിയുള്ള ഫീച്ചർ സമ്പന്നമായ ഉപകരണമായാണ് ഈ ഉപകരണം രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്. വലിയ തോതിലുള്ള ഇൻഫ്രാസ്ട്രക്ചറിലെ പ്രശ്നങ്ങൾ നേരിടാൻ ഇത് സഹായിക്കുന്നു.
ഗോ ഓഡിറ്റ് സംവിധാനം ഗോലാങ്ങിലാണ് എഴുതിയിരിക്കുന്നത്. ഇത് ഒരു തരം സുരക്ഷിതവും ഉയർന്ന പ്രകടനമുള്ളതുമായ ഭാഷയാണ്. GoAudit ഇൻസ്റ്റാൾ ചെയ്യുന്നതിനുമുമ്പ്, നിങ്ങളുടെ Golang-ന്റെ പതിപ്പ് 1.7-നേക്കാൾ ഉയർന്നതാണെന്ന് പരിശോധിക്കുക.
3. ഗ്രാപ്ൾ
പദ്ധതി (ഗ്രാഫ് അനലിറ്റിക്സ് പ്ലാറ്റ്ഫോം) കഴിഞ്ഞ വർഷം മാർച്ചിൽ ഓപ്പൺ സോഴ്സ് വിഭാഗത്തിലേക്ക് മാറ്റി. സുരക്ഷാ പ്രശ്നങ്ങൾ കണ്ടെത്തുന്നതിനും കമ്പ്യൂട്ടർ ഫോറൻസിക്സ് നടത്തുന്നതിനും സംഭവ റിപ്പോർട്ടുകൾ സൃഷ്ടിക്കുന്നതിനുമുള്ള താരതമ്യേന പുതിയ പ്ലാറ്റ്ഫോമാണിത്. ആക്രമണകാരികൾ പലപ്പോഴും ഒരു ഗ്രാഫ് മോഡൽ പോലെയുള്ള എന്തെങ്കിലും ഉപയോഗിച്ച് പ്രവർത്തിക്കുന്നു, ഒരൊറ്റ സിസ്റ്റത്തിന്റെ നിയന്ത്രണം നേടുകയും ആ സിസ്റ്റത്തിൽ നിന്ന് ആരംഭിക്കുന്ന മറ്റ് നെറ്റ്വർക്ക് സിസ്റ്റങ്ങൾ പര്യവേക്ഷണം ചെയ്യുകയും ചെയ്യുന്നു. അതിനാൽ, സിസ്റ്റങ്ങൾ തമ്മിലുള്ള ബന്ധങ്ങളുടെ പ്രത്യേകതകൾ കണക്കിലെടുത്ത്, നെറ്റ്വർക്ക് സിസ്റ്റങ്ങളുടെ കണക്ഷനുകളുടെ ഒരു ഗ്രാഫിന്റെ മാതൃകയെ അടിസ്ഥാനമാക്കി സിസ്റ്റം ഡിഫൻഡർമാർ ഒരു മെക്കാനിസവും ഉപയോഗിക്കുമെന്നത് തികച്ചും സ്വാഭാവികമാണ്. ഒരു ലോഗ് മോഡലിന് പകരം ഒരു ഗ്രാഫ് മോഡലിനെ അടിസ്ഥാനമാക്കി സംഭവങ്ങൾ കണ്ടെത്തലും പ്രതികരണ നടപടികളും നടപ്പിലാക്കുന്നതിനുള്ള ഒരു ശ്രമം ഗ്രാപ്ൽ പ്രകടമാക്കുന്നു.
Grapl ടൂൾ സുരക്ഷയുമായി ബന്ധപ്പെട്ട ലോഗുകൾ (Sysmon ലോഗുകൾ അല്ലെങ്കിൽ സാധാരണ JSON ഫോർമാറ്റിലുള്ള ലോഗുകൾ) എടുക്കുകയും അവയെ സബ്ഗ്രാഫുകളാക്കി മാറ്റുകയും ചെയ്യുന്നു (ഓരോ നോഡിനും ഒരു "ഐഡന്റിറ്റി" നിർവചിക്കുന്നു). അതിനുശേഷം, ഇത് ഉപഗ്രാഫുകളെ ഒരു പൊതു ഗ്രാഫിലേക്ക് (മാസ്റ്റർ ഗ്രാഫ്) സംയോജിപ്പിക്കുന്നു, ഇത് വിശകലനം ചെയ്ത പരിതസ്ഥിതികളിൽ നടത്തിയ പ്രവർത്തനങ്ങളെ പ്രതിനിധീകരിക്കുന്നു. ക്രമക്കേടുകളും സംശയാസ്പദമായ പാറ്റേണുകളും തിരിച്ചറിയാൻ "ആക്രമണക്കാരുടെ ഒപ്പുകൾ" ഉപയോഗിച്ച് ഗ്രാഫ് ഫലമായ ഗ്രാഫിൽ അനലൈസറുകൾ പ്രവർത്തിപ്പിക്കുന്നു. അനലൈസർ സംശയാസ്പദമായ ഒരു സബ്ഗ്രാഫ് തിരിച്ചറിയുമ്പോൾ, ഗ്രാപ്ൾ അന്വേഷണത്തിനായി ഉദ്ദേശിച്ചിട്ടുള്ള ഒരു എൻഗേജ്മെന്റ് നിർമ്മാണം സൃഷ്ടിക്കുന്നു. ഇടപഴകൽ ഒരു പൈത്തൺ ക്ലാസാണ്, ഉദാഹരണത്തിന്, AWS പരിതസ്ഥിതിയിൽ വിന്യസിച്ചിരിക്കുന്ന ജൂപ്പിറ്റർ നോട്ട്ബുക്കിലേക്ക്. ഗ്രാഫ് വിപുലീകരണത്തിലൂടെ സംഭവ അന്വേഷണത്തിനായുള്ള വിവരശേഖരണത്തിന്റെ തോത് വർദ്ധിപ്പിക്കാൻ Grapl-ന് കഴിയും.
നിങ്ങൾക്ക് ഗ്രാപ്ലിനെ നന്നായി മനസ്സിലാക്കണമെങ്കിൽ, നിങ്ങൾക്ക് നോക്കാം രസകരമായ വീഡിയോ - BSides Las Vegas 2019-ൽ നിന്നുള്ള ഒരു പ്രകടനത്തിന്റെ റെക്കോർഡിംഗ്.
4. OSSEC
2004-ൽ സ്ഥാപിതമായ ഒരു പദ്ധതിയാണ്. ഈ പ്രോജക്റ്റ് പൊതുവെ, ഹോസ്റ്റ് വിശകലനത്തിനും നുഴഞ്ഞുകയറ്റം കണ്ടെത്തുന്നതിനുമായി രൂപകൽപ്പന ചെയ്തിരിക്കുന്ന ഒരു ഓപ്പൺ സോഴ്സ് സെക്യൂരിറ്റി മോണിറ്ററിംഗ് പ്ലാറ്റ്ഫോമായി വിശേഷിപ്പിക്കാം. OSSEC പ്രതിവർഷം 500000 തവണ ഡൗൺലോഡ് ചെയ്യപ്പെടുന്നു. സെർവറുകളിലെ നുഴഞ്ഞുകയറ്റങ്ങൾ കണ്ടെത്തുന്നതിനുള്ള ഒരു മാർഗമായാണ് ഈ പ്ലാറ്റ്ഫോം പ്രധാനമായും ഉപയോഗിക്കുന്നത്. മാത്രമല്ല, ഞങ്ങൾ സംസാരിക്കുന്നത് ലോക്കൽ, ക്ലൗഡ് സിസ്റ്റങ്ങളെക്കുറിച്ചാണ്. ഫയർവാളുകൾ, നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനങ്ങൾ, വെബ് സെർവറുകൾ എന്നിവയുടെ നിരീക്ഷണ, വിശകലന ലോഗുകൾ പരിശോധിക്കുന്നതിനും ആധികാരിക രേഖകൾ പഠിക്കുന്നതിനുമുള്ള ഒരു ഉപകരണമായും OSSEC ഉപയോഗിക്കാറുണ്ട്.
സെക്യൂരിറ്റി ഇൻസിഡന്റ് മാനേജ്മെന്റ് (സിം), സെക്യൂരിറ്റി ഇൻഫർമേഷൻ ആന്റ് ഇവന്റ് മാനേജ്മെന്റ് (എസ്ഐഇഎം) സിസ്റ്റം എന്നിവയ്ക്കൊപ്പം ഹോസ്റ്റ്-ബേസ്ഡ് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റത്തിന്റെ (എച്ച്ഐഡിഎസ്) കഴിവുകളെ ഒഎസ്എസ്ഇസി സംയോജിപ്പിക്കുന്നു. OSSEC-ന് തത്സമയം ഫയൽ സമഗ്രത നിരീക്ഷിക്കാനും കഴിയും. ഉദാഹരണത്തിന്, ഇത് വിൻഡോസ് രജിസ്ട്രി നിരീക്ഷിക്കുകയും റൂട്ട്കിറ്റുകൾ കണ്ടെത്തുകയും ചെയ്യുന്നു. കണ്ടെത്തിയ പ്രശ്നങ്ങളെക്കുറിച്ച് തത്സമയം ബന്ധപ്പെട്ടവരെ അറിയിക്കാനും കണ്ടെത്തിയ ഭീഷണികളോട് വേഗത്തിൽ പ്രതികരിക്കാനും OSSEC-ന് കഴിയും. ഈ പ്ലാറ്റ്ഫോം മൈക്രോസോഫ്റ്റ് വിൻഡോസിനെയും Linux, FreeBSD, OpenBSD, Solaris എന്നിവയുൾപ്പെടെയുള്ള ഏറ്റവും ആധുനിക യുണിക്സ് പോലുള്ള സിസ്റ്റങ്ങളെയും പിന്തുണയ്ക്കുന്നു.
OSSEC പ്ലാറ്റ്ഫോമിൽ ഒരു സെൻട്രൽ കൺട്രോൾ എന്റിറ്റി, ഒരു മാനേജർ, ഏജന്റുമാരിൽ നിന്ന് വിവരങ്ങൾ സ്വീകരിക്കുന്നതിനും നിരീക്ഷിക്കുന്നതിനും ഉപയോഗിക്കുന്നു (നിരീക്ഷിക്കേണ്ട സിസ്റ്റങ്ങളിൽ ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള ചെറിയ പ്രോഗ്രാമുകൾ). ഫയലുകളുടെ സമഗ്രത പരിശോധിക്കാൻ ഉപയോഗിക്കുന്ന ഒരു ഡാറ്റാബേസ് സംഭരിക്കുന്ന ഒരു ലിനക്സ് സിസ്റ്റത്തിലാണ് മാനേജർ ഇൻസ്റ്റാൾ ചെയ്തിരിക്കുന്നത്. ഇത് ഇവന്റുകളുടെയും സിസ്റ്റം ഓഡിറ്റ് ഫലങ്ങളുടെയും ലോഗുകളും റെക്കോർഡുകളും സംഭരിക്കുന്നു.
OSSEC പദ്ധതി നിലവിൽ Atomicorp പിന്തുണയ്ക്കുന്നു. കമ്പനി ഒരു സ്വതന്ത്ര ഓപ്പൺ സോഴ്സ് പതിപ്പിന്റെ മേൽനോട്ടം വഹിക്കുന്നു, കൂടാതെ, ഓഫറുകളും ഉൽപ്പന്നത്തിന്റെ വാണിജ്യ പതിപ്പ്. OSSEC പ്രോജക്ട് മാനേജർ സിസ്റ്റത്തിന്റെ ഏറ്റവും പുതിയ പതിപ്പിനെക്കുറിച്ച് സംസാരിക്കുന്ന പോഡ്കാസ്റ്റ് - OSSEC 3.0. പദ്ധതിയുടെ ചരിത്രത്തെക്കുറിച്ചും കമ്പ്യൂട്ടർ സുരക്ഷാ മേഖലയിൽ ഉപയോഗിക്കുന്ന ആധുനിക വാണിജ്യ സംവിധാനങ്ങളിൽ നിന്ന് ഇത് എങ്ങനെ വ്യത്യാസപ്പെട്ടിരിക്കുന്നു എന്നതിനെക്കുറിച്ചും ഇത് സംസാരിക്കുന്നു.
5. മീർകട്ട്
കമ്പ്യൂട്ടർ സുരക്ഷയുടെ പ്രധാന പ്രശ്നങ്ങൾ പരിഹരിക്കുന്നതിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്ന ഒരു ഓപ്പൺ സോഴ്സ് പ്രോജക്റ്റാണ്. പ്രത്യേകിച്ചും, അതിൽ ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനം, ഒരു നുഴഞ്ഞുകയറ്റ പ്രതിരോധ സംവിധാനം, ഒരു നെറ്റ്വർക്ക് സുരക്ഷാ നിരീക്ഷണ ഉപകരണം എന്നിവ ഉൾപ്പെടുന്നു.
ഈ ഉൽപ്പന്നം 2009 ൽ പ്രത്യക്ഷപ്പെട്ടു. അവന്റെ ജോലി നിയമങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. അതായത്, അത് ഉപയോഗിക്കുന്ന ഒരാൾക്ക് നെറ്റ്വർക്ക് ട്രാഫിക്കിന്റെ ചില സവിശേഷതകൾ വിവരിക്കാൻ അവസരമുണ്ട്. റൂൾ പ്രവർത്തനക്ഷമമാക്കിയാൽ, സംശയാസ്പദമായ കണക്ഷൻ തടയുകയോ അവസാനിപ്പിക്കുകയോ ചെയ്യുന്ന ഒരു അറിയിപ്പ് Suricata സൃഷ്ടിക്കുന്നു, ഇത് വീണ്ടും നിർദ്ദിഷ്ട നിയമങ്ങളെ ആശ്രയിച്ചിരിക്കുന്നു. മൾട്ടി-ത്രെഡഡ് പ്രവർത്തനത്തെ പ്രോജക്റ്റ് പിന്തുണയ്ക്കുന്നു. വലിയ അളവിൽ ട്രാഫിക് വഹിക്കുന്ന നെറ്റ്വർക്കുകളിൽ ധാരാളം നിയമങ്ങൾ വേഗത്തിൽ പ്രോസസ്സ് ചെയ്യുന്നത് ഇത് സാധ്യമാക്കുന്നു. മൾട്ടി-ത്രെഡിംഗ് പിന്തുണയ്ക്ക് നന്ദി, ഒരു സാധാരണ സെർവറിന് 10 Gbit/s വേഗതയിൽ സഞ്ചരിക്കുന്ന ട്രാഫിക് വിജയകരമായി വിശകലനം ചെയ്യാൻ കഴിയും. ഈ സാഹചര്യത്തിൽ, ട്രാഫിക് വിശകലനത്തിനായി ഉപയോഗിക്കുന്ന നിയമങ്ങളുടെ കൂട്ടം അഡ്മിനിസ്ട്രേറ്റർ പരിമിതപ്പെടുത്തേണ്ടതില്ല. സൂറികാറ്റ ഹാഷിംഗും ഫയൽ വീണ്ടെടുക്കലും പിന്തുണയ്ക്കുന്നു.
ഉൽപ്പന്നത്തിൽ അടുത്തിടെ അവതരിപ്പിച്ച ഫീച്ചർ ഉപയോഗിച്ച് സാധാരണ സെർവറുകളിലോ AWS പോലുള്ള വെർച്വൽ മെഷീനുകളിലോ പ്രവർത്തിപ്പിക്കുന്നതിന് Suricata ക്രമീകരിക്കാൻ കഴിയും. .
ഭീഷണി ഒപ്പുകൾ വിശകലനം ചെയ്യുന്നതിനായി സങ്കീർണ്ണവും വിശദവുമായ യുക്തി സൃഷ്ടിക്കാൻ ഉപയോഗിക്കാവുന്ന ലുവാ സ്ക്രിപ്റ്റുകളെ പ്രോജക്റ്റ് പിന്തുണയ്ക്കുന്നു.
ഓപ്പൺ ഇൻഫർമേഷൻ സെക്യൂരിറ്റി ഫൗണ്ടേഷൻ (OISF) ആണ് സുരികാറ്റ പ്രോജക്ട് കൈകാര്യം ചെയ്യുന്നത്.
6. സീക്ക് (ബ്രോ)
സുരികാറ്റ പോലെ, (ഈ പ്രോജക്റ്റ് മുമ്പ് ബ്രോ എന്ന് വിളിച്ചിരുന്നു, ബ്രോകോൺ 2018-ൽ Zeek എന്ന് പുനർനാമകരണം ചെയ്യപ്പെട്ടു) ഒരു നുഴഞ്ഞുകയറ്റം കണ്ടെത്തൽ സംവിധാനവും നെറ്റ്വർക്ക് സെക്യൂരിറ്റി മോണിറ്ററിംഗ് ടൂളും കൂടിയാണിത്, ഇത് സംശയാസ്പദമോ അപകടകരമോ ആയ പ്രവർത്തനം പോലുള്ള അപാകതകൾ കണ്ടെത്താനാകും. സീക്ക് പരമ്പരാഗത ഐഡിഎസിൽ നിന്ന് വ്യത്യസ്തമാണ്, ഒഴിവാക്കലുകൾ കണ്ടെത്തുന്ന നിയമ-അടിസ്ഥാന സിസ്റ്റങ്ങളിൽ നിന്ന് വ്യത്യസ്തമായി, നെറ്റ്വർക്കിൽ എന്താണ് സംഭവിക്കുന്നതെന്ന് ബന്ധപ്പെട്ട മെറ്റാഡാറ്റയും സീക്ക് ക്യാപ്ചർ ചെയ്യുന്നു. അസാധാരണമായ നെറ്റ്വർക്ക് പെരുമാറ്റത്തിന്റെ സന്ദർഭം നന്നായി മനസ്സിലാക്കുന്നതിനാണ് ഇത് ചെയ്യുന്നത്. ഉദാഹരണത്തിന്, ഒരു HTTP കോൾ അല്ലെങ്കിൽ സുരക്ഷാ സർട്ടിഫിക്കറ്റുകൾ കൈമാറുന്നതിനുള്ള നടപടിക്രമം വിശകലനം ചെയ്യുന്നതിലൂടെ, പ്രോട്ടോക്കോൾ, പാക്കറ്റ് ഹെഡറുകൾ, ഡൊമെയ്ൻ നാമങ്ങൾ എന്നിവ പരിശോധിക്കാൻ ഇത് അനുവദിക്കുന്നു.
സീക്കിനെ ഒരു നെറ്റ്വർക്ക് സുരക്ഷാ ഉപകരണമായി ഞങ്ങൾ പരിഗണിക്കുകയാണെങ്കിൽ, സംഭവത്തിന് മുമ്പോ അതിനിടയിലോ എന്താണ് സംഭവിച്ചതെന്ന് മനസിലാക്കിക്കൊണ്ട് ഒരു സംഭവം അന്വേഷിക്കാൻ ഒരു സ്പെഷ്യലിസ്റ്റിന് ഇത് അവസരം നൽകുന്നുവെന്ന് നമുക്ക് പറയാം. Zeek നെറ്റ്വർക്ക് ട്രാഫിക് ഡാറ്റയെ ഉയർന്ന തലത്തിലുള്ള ഇവന്റുകളാക്കി മാറ്റുകയും ഒരു സ്ക്രിപ്റ്റ് ഇന്റർപ്രെറ്ററുമായി പ്രവർത്തിക്കാനുള്ള കഴിവ് നൽകുകയും ചെയ്യുന്നു. ഇവന്റുകളുമായി സംവദിക്കുന്നതിനും നെറ്റ്വർക്ക് സുരക്ഷയുടെ കാര്യത്തിൽ ആ ഇവന്റുകൾ എന്താണ് അർത്ഥമാക്കുന്നതെന്ന് കണ്ടെത്തുന്നതിനും ഉപയോഗിക്കുന്ന ഒരു പ്രോഗ്രാമിംഗ് ഭാഷയെ ഇന്റർപ്രെറ്റർ പിന്തുണയ്ക്കുന്നു. ഒരു നിർദ്ദിഷ്ട ഓർഗനൈസേഷന്റെ ആവശ്യങ്ങൾക്ക് അനുയോജ്യമായ മെറ്റാഡാറ്റ എങ്ങനെ വ്യാഖ്യാനിക്കപ്പെടുന്നു എന്നത് ഇഷ്ടാനുസൃതമാക്കാൻ Zeek പ്രോഗ്രാമിംഗ് ഭാഷ ഉപയോഗിക്കാം. AND, OR, NOT ഓപ്പറേറ്റർമാർ ഉപയോഗിച്ച് സങ്കീർണ്ണമായ ലോജിക്കൽ അവസ്ഥകൾ നിർമ്മിക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു. ഇത് ഉപയോക്താക്കൾക്ക് അവരുടെ പരിതസ്ഥിതികൾ എങ്ങനെ വിശകലനം ചെയ്യണമെന്ന് ഇഷ്ടാനുസൃതമാക്കാനുള്ള കഴിവ് നൽകുന്നു. എന്നിരുന്നാലും, സൂറികാറ്റയുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ, സുരക്ഷാ ഭീഷണി രഹസ്യാന്വേഷണം നടത്തുമ്പോൾ സീക്ക് തികച്ചും സങ്കീർണ്ണമായ ഒരു ഉപകരണമായി തോന്നാം എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്.
Zeek-നെ കുറിച്ചുള്ള കൂടുതൽ വിശദാംശങ്ങളിൽ നിങ്ങൾക്ക് താൽപ്പര്യമുണ്ടെങ്കിൽ, ദയവായി ബന്ധപ്പെടുക വീഡിയോ.
7. പാന്തർ
തുടർച്ചയായ സുരക്ഷാ നിരീക്ഷണത്തിനുള്ള ശക്തമായ, നേറ്റീവ് ക്ലൗഡ്-നേറ്റീവ് പ്ലാറ്റ്ഫോമാണ്. ഇത് അടുത്തിടെ ഓപ്പൺ സോഴ്സ് വിഭാഗത്തിലേക്ക് മാറ്റി. പ്രധാന ആർക്കിടെക്റ്റ് പദ്ധതിയുടെ ഉത്ഭവസ്ഥാനത്താണ് - ഓട്ടോമേറ്റഡ് ലോഗ് വിശകലനത്തിനുള്ള പരിഹാരങ്ങൾ, ഇതിന്റെ കോഡ് Airbnb തുറന്നു. എല്ലാ പരിതസ്ഥിതികളിലെയും ഭീഷണികൾ കേന്ദ്രീകൃതമായി കണ്ടെത്തുന്നതിനും അവയ്ക്കുള്ള പ്രതികരണം സംഘടിപ്പിക്കുന്നതിനുമുള്ള ഒരൊറ്റ സംവിധാനം പാന്തർ ഉപയോക്താവിന് നൽകുന്നു. സേവനം നൽകുന്ന അടിസ്ഥാന സൗകര്യങ്ങളുടെ വലുപ്പത്തിനൊപ്പം വളരാൻ ഈ സംവിധാനത്തിന് കഴിയും. സുരക്ഷാ പ്രൊഫഷണലുകൾക്ക് തെറ്റായ പോസിറ്റീവുകളും അനാവശ്യ ജോലിഭാരവും കുറയ്ക്കുന്നതിനുള്ള സുതാര്യവും നിർണ്ണായകവുമായ നിയമങ്ങളെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് ഭീഷണി കണ്ടെത്തൽ.
പാന്തറിന്റെ പ്രധാന സവിശേഷതകളിൽ ഇനിപ്പറയുന്നവ ഉൾപ്പെടുന്നു:
- ലോഗുകൾ വിശകലനം ചെയ്യുന്നതിലൂടെ ഉറവിടങ്ങളിലേക്കുള്ള അനധികൃത പ്രവേശനം കണ്ടെത്തൽ.
- സുരക്ഷാ പ്രശ്നങ്ങൾ സൂചിപ്പിക്കുന്ന സൂചകങ്ങൾക്കായി ലോഗുകൾ തിരഞ്ഞാണ് ഭീഷണി കണ്ടെത്തൽ നടപ്പിലാക്കുന്നത്. പാന്ററിന്റെ സ്റ്റാൻഡേർഡ് ഡാറ്റ ഫീൽഡുകൾ ഉപയോഗിച്ചാണ് തിരയൽ നടത്തുന്നത്.
- ഉപയോഗിച്ച് SOC/PCI/HIPAA മാനദണ്ഡങ്ങൾ പാലിക്കുന്നുണ്ടോയെന്ന് സിസ്റ്റം പരിശോധിക്കുന്നു പാന്തർ മെക്കാനിസങ്ങൾ.
- ആക്രമണകാരികൾ ചൂഷണം ചെയ്താൽ ഗുരുതരമായ പ്രശ്നങ്ങൾ ഉണ്ടാക്കിയേക്കാവുന്ന കോൺഫിഗറേഷൻ പിശകുകൾ സ്വയമേവ ശരിയാക്കി നിങ്ങളുടെ ക്ലൗഡ് ഉറവിടങ്ങൾ പരിരക്ഷിക്കുക.
AWS CloudFormation ഉപയോഗിച്ച് ഒരു ഓർഗനൈസേഷന്റെ AWS ക്ലൗഡിൽ പാന്തറിനെ വിന്യസിച്ചിരിക്കുന്നു. ഇത് ഉപയോക്താവിനെ എപ്പോഴും തന്റെ ഡാറ്റയുടെ നിയന്ത്രണത്തിലായിരിക്കാൻ അനുവദിക്കുന്നു.
ഫലങ്ങൾ
സിസ്റ്റം സുരക്ഷ നിരീക്ഷിക്കുന്നത് ഈ ദിവസങ്ങളിൽ ഒരു നിർണായക ചുമതലയാണ്. ഈ പ്രശ്നം പരിഹരിക്കുന്നതിൽ, ധാരാളം അവസരങ്ങൾ നൽകുന്ന ഓപ്പൺ സോഴ്സ് ടൂളുകൾ ഉപയോഗിച്ച് ഏത് വലുപ്പത്തിലുള്ള കമ്പനികളെയും സഹായിക്കാനാകും, അത് ഏതാണ്ട് ഒന്നും തന്നെ ചെലവാകുകയോ സൗജന്യമോ ആണ്.
പ്രിയ വായനക്കാർ! നിങ്ങൾ എന്ത് സുരക്ഷാ നിരീക്ഷണ ടൂളുകളാണ് ഉപയോഗിക്കുന്നത്?
അവലംബം: www.habr.com