Penggunaan pengkomputeran awan yang meluas membantu syarikat meningkatkan perniagaan mereka. Tetapi penggunaan platform baharu juga bermakna kemunculan ancaman baharu. Mengekalkan pasukan anda sendiri dalam organisasi yang bertanggungjawab untuk memantau keselamatan perkhidmatan awan bukanlah tugas yang mudah. Alat pemantauan sedia ada adalah mahal dan perlahan. Mereka, sedikit sebanyak, sukar untuk diuruskan apabila ia datang untuk mendapatkan infrastruktur awan berskala besar. Untuk memastikan keselamatan awan mereka pada tahap yang tinggi, syarikat memerlukan alat yang berkuasa, fleksibel dan intuitif yang melangkaui apa yang tersedia sebelum ini. Di sinilah teknologi sumber terbuka sangat berguna, membantu menjimatkan belanjawan keselamatan dan dicipta oleh pakar yang tahu banyak tentang perniagaan mereka.
Artikel itu, terjemahan yang kami terbitkan hari ini, memberikan gambaran keseluruhan 7 alat sumber terbuka untuk memantau keselamatan sistem awan. Alat ini direka bentuk untuk melindungi daripada penggodam dan penjenayah siber dengan mengesan anomali dan aktiviti tidak selamat.
1. Osquery
ialah sistem untuk pemantauan dan analisis peringkat rendah sistem pengendalian yang membolehkan profesional keselamatan menjalankan perlombongan data yang kompleks menggunakan SQL. Rangka kerja Osquery boleh dijalankan pada Linux, macOS, Windows dan FreeBSD. Ia mewakili sistem pengendalian (OS) sebagai pangkalan data hubungan berprestasi tinggi. Ini membolehkan pakar keselamatan memeriksa OS dengan menjalankan pertanyaan SQL. Contohnya, menggunakan pertanyaan, anda boleh mengetahui tentang proses yang sedang dijalankan, modul kernel yang dimuatkan, sambungan rangkaian terbuka, sambungan penyemak imbas yang dipasang, acara perkakasan dan cincang fail.
Rangka kerja Osquery telah dicipta oleh Facebook. Kodnya adalah sumber terbuka pada 2014, selepas syarikat itu menyedari bahawa bukan sahaja dirinya yang memerlukan alat untuk memantau mekanisme peringkat rendah sistem pengendalian. Sejak itu, Osquery telah digunakan oleh pakar dari syarikat seperti Dactiv, Google, Kolide, Trail of Bits, Uptycs, dan banyak lagi. Ia baru-baru ini bahawa Yayasan Linux dan Facebook akan membentuk dana untuk menyokong Osquery.
Daemon pemantauan hos Osquery, dipanggil osqueryd, membolehkan anda menjadualkan pertanyaan yang mengumpul data dari seluruh infrastruktur organisasi anda. Daemon mengumpul hasil pertanyaan dan mencipta log yang mencerminkan perubahan dalam keadaan infrastruktur. Ini boleh membantu profesional keselamatan mengikuti perkembangan status sistem dan amat berguna untuk mengenal pasti anomali. Keupayaan pengagregatan log Osquery boleh digunakan untuk membantu anda mencari perisian hasad yang diketahui dan tidak diketahui, serta mengenal pasti tempat penyerang telah memasuki sistem anda dan mencari program yang telah mereka pasang. Baca lebih lanjut mengenai pengesanan anomali menggunakan Osquery.
2.GoAudit
Sistem terdiri daripada dua komponen utama. Yang pertama ialah beberapa kod peringkat kernel yang direka untuk memintas dan memantau panggilan sistem. Komponen kedua ialah daemon ruang pengguna yang dipanggil . Ia bertanggungjawab untuk menulis keputusan audit ke cakera. , sistem yang dicipta oleh syarikat dan dikeluarkan pada 2016, bertujuan untuk menggantikan auditd. Ia telah meningkatkan keupayaan pengelogan dengan menukarkan mesej acara berbilang baris yang dijana oleh sistem pengauditan Linux kepada gumpalan JSON tunggal untuk analisis yang lebih mudah. Dengan GoAudit, anda boleh mengakses terus mekanisme peringkat kernel melalui rangkaian. Selain itu, anda boleh mendayakan penapisan acara minimum pada hos itu sendiri (atau melumpuhkan penapisan sepenuhnya). Pada masa yang sama, GoAudit ialah projek yang direka bukan sahaja untuk memastikan keselamatan. Alat ini direka bentuk sebagai alat yang kaya dengan ciri untuk sokongan sistem atau profesional pembangunan. Ia membantu mengatasi masalah dalam infrastruktur berskala besar.
Sistem GoAudit ditulis dalam Golang. Ia adalah bahasa yang selamat jenis dan berprestasi tinggi. Sebelum memasang GoAudit, pastikan versi Golang anda lebih tinggi daripada 1.7.
3. Grapl
Projek (Platform Analitis Graf) telah dipindahkan ke kategori sumber terbuka pada Mac tahun lepas. Ia adalah platform yang agak baharu untuk mengesan isu keselamatan, menjalankan forensik komputer dan menjana laporan insiden. Penyerang selalunya bekerja menggunakan sesuatu seperti model graf, memperoleh kawalan ke atas satu sistem dan meneroka sistem rangkaian lain bermula dari sistem itu. Oleh itu, adalah wajar bahawa pembela sistem juga akan menggunakan mekanisme berdasarkan model graf sambungan sistem rangkaian, dengan mengambil kira keistimewaan hubungan antara sistem. Grapl menunjukkan percubaan untuk melaksanakan pengesanan insiden dan langkah tindak balas berdasarkan model graf dan bukannya model log.
Alat Grapl mengambil log berkaitan keselamatan (log atau log Sysmon dalam format JSON biasa) dan menukarnya kepada subgraf (mendefinisikan "identiti" untuk setiap nod). Selepas itu, ia menggabungkan subgraf menjadi graf biasa (Graf Induk), yang mewakili tindakan yang dilakukan dalam persekitaran yang dianalisis. Grapl kemudian menjalankan Penganalisis pada graf yang terhasil menggunakan "tandatangan penyerang" untuk mengenal pasti anomali dan corak yang mencurigakan. Apabila penganalisis mengenal pasti subgraf yang mencurigakan, Grapl menjana binaan Penglibatan yang bertujuan untuk penyiasatan. Interaksi ialah kelas Python yang boleh dimuatkan, sebagai contoh, ke dalam Buku Nota Jupyter yang digunakan dalam persekitaran AWS. Grapl, sebagai tambahan, boleh meningkatkan skala pengumpulan maklumat untuk penyiasatan insiden melalui pengembangan graf.
Jika anda ingin lebih memahami Grapl, anda boleh lihat video menarik - rakaman persembahan dari BSides Las Vegas 2019.
4. OSSEC
adalah projek yang diasaskan pada tahun 2004. Projek ini, secara amnya, boleh dicirikan sebagai platform pemantauan keselamatan sumber terbuka yang direka untuk analisis hos dan pengesanan pencerobohan. OSSEC dimuat turun lebih daripada 500000 kali setahun. Platform ini digunakan terutamanya sebagai cara untuk mengesan pencerobohan pada pelayan. Lebih-lebih lagi, kita bercakap tentang kedua-dua sistem tempatan dan awan. OSSEC juga sering digunakan sebagai alat untuk memeriksa log pemantauan dan analisis tembok api, sistem pengesanan pencerobohan, pelayan web, dan juga untuk mengkaji log pengesahan.
OSSEC menggabungkan keupayaan Sistem Pengesan Pencerobohan Berasaskan Hos (HIDS) dengan Sistem Pengurusan Insiden Keselamatan (SIM) dan Keselamatan Maklumat dan Pengurusan Acara (SIEM). . OSSEC juga boleh memantau integriti fail dalam masa nyata. Ini, sebagai contoh, memantau pendaftaran Windows dan mengesan rootkit. OSSEC dapat memberitahu pihak berkepentingan tentang masalah yang dikesan dalam masa nyata dan membantu untuk bertindak balas dengan cepat terhadap ancaman yang dikesan. Platform ini menyokong Microsoft Windows dan kebanyakan sistem seperti Unix moden, termasuk Linux, FreeBSD, OpenBSD dan Solaris.
Platform OSSEC terdiri daripada entiti kawalan pusat, pengurus, yang digunakan untuk menerima dan memantau maklumat daripada ejen (program kecil yang dipasang pada sistem yang perlu dipantau). Pengurus dipasang pada sistem Linux, yang menyimpan pangkalan data yang digunakan untuk menyemak integriti fail. Ia juga menyimpan log dan rekod peristiwa dan keputusan audit sistem.
Projek OSSEC kini disokong oleh Atomicorp. Syarikat itu menyelia versi sumber terbuka percuma, dan, sebagai tambahan, menawarkan versi komersial produk. podcast di mana pengurus projek OSSEC bercakap tentang versi terkini sistem - OSSEC 3.0. Ia juga bercakap tentang sejarah projek, dan bagaimana ia berbeza daripada sistem komersial moden yang digunakan dalam bidang keselamatan komputer.
5. meerkat
ialah projek sumber terbuka yang memberi tumpuan kepada menyelesaikan masalah utama keselamatan komputer. Khususnya, ia termasuk sistem pengesanan pencerobohan, sistem pencegahan pencerobohan dan alat pemantauan keselamatan rangkaian.
Produk ini muncul pada tahun 2009. Kerjanya berdasarkan peraturan. Iaitu, orang yang menggunakannya mempunyai peluang untuk menerangkan ciri-ciri tertentu trafik rangkaian. Jika peraturan dicetuskan, Suricata menjana pemberitahuan, menyekat atau menamatkan sambungan yang mencurigakan, yang, sekali lagi, bergantung pada peraturan yang ditentukan. Projek ini juga menyokong operasi berbilang benang. Ini memungkinkan untuk memproses sejumlah besar peraturan dengan cepat dalam rangkaian yang membawa jumlah trafik yang besar. Terima kasih kepada sokongan multi-threading, pelayan yang benar-benar biasa dapat menganalisis trafik perjalanan dengan jayanya pada kelajuan 10 Gbit/s. Dalam kes ini, pentadbir tidak perlu mengehadkan set peraturan yang digunakan untuk analisis trafik. Suricata juga menyokong pencincangan dan mendapatkan semula fail.
Suricata boleh dikonfigurasikan untuk dijalankan pada pelayan biasa atau pada mesin maya, seperti AWS, menggunakan ciri yang diperkenalkan baru-baru ini dalam produk .
Projek ini menyokong skrip Lua, yang boleh digunakan untuk mencipta logik yang rumit dan terperinci untuk menganalisis tandatangan ancaman.
Projek Suricata diuruskan oleh Open Information Security Foundation (OISF).
6. Zeek (Abang)
Seperti Suricata, (projek ini dahulunya dipanggil Bro dan dinamakan semula sebagai Zeek di BroCon 2018) juga merupakan sistem pengesanan pencerobohan dan alat pemantauan keselamatan rangkaian yang boleh mengesan anomali seperti aktiviti yang mencurigakan atau berbahaya. Zeek berbeza daripada IDS tradisional kerana, tidak seperti sistem berasaskan peraturan yang mengesan pengecualian, Zeek juga menangkap metadata yang dikaitkan dengan apa yang berlaku pada rangkaian. Ini dilakukan untuk lebih memahami konteks tingkah laku rangkaian yang luar biasa. Ini membolehkan, sebagai contoh, dengan menganalisis panggilan HTTP atau prosedur untuk menukar sijil keselamatan, untuk melihat protokol, pada pengepala paket, pada nama domain.
Jika kita menganggap Zeek sebagai alat keselamatan rangkaian, maka kita boleh mengatakan bahawa ia memberi peluang kepada pakar untuk menyiasat sesuatu kejadian dengan mengetahui tentang perkara yang berlaku sebelum atau semasa kejadian. Zeek juga menukar data trafik rangkaian kepada acara peringkat tinggi dan menyediakan keupayaan untuk bekerja dengan penterjemah skrip. Jurubahasa menyokong bahasa pengaturcaraan yang digunakan untuk berinteraksi dengan acara dan untuk mengetahui apa sebenarnya maksud peristiwa tersebut dari segi keselamatan rangkaian. Bahasa pengaturcaraan Zeek boleh digunakan untuk menyesuaikan cara metadata ditafsirkan agar sesuai dengan keperluan organisasi tertentu. Ia membolehkan anda membina keadaan logik yang kompleks menggunakan operator AND, OR dan NOT. Ini memberi pengguna keupayaan untuk menyesuaikan cara persekitaran mereka dianalisis. Walau bagaimanapun, perlu diambil perhatian bahawa, berbanding dengan Suricata, Zeek mungkin kelihatan seperti alat yang agak kompleks apabila menjalankan peninjauan ancaman keselamatan.
Jika anda berminat untuk mendapatkan butiran lanjut tentang Zeek, sila hubungi video.
7. Panther
ialah platform asli awan yang berkuasa untuk pemantauan keselamatan berterusan. Ia baru-baru ini dipindahkan ke kategori sumber terbuka. Arkitek utama adalah pada asal usul projek β penyelesaian untuk analisis log automatik, yang kodnya dibuka oleh Airbnb. Panther memberikan pengguna satu sistem untuk mengesan ancaman secara berpusat dalam semua persekitaran dan mengatur tindak balas kepada mereka. Sistem ini mampu berkembang seiring dengan saiz infrastruktur yang disediakan. Pengesanan ancaman adalah berdasarkan peraturan yang telus dan menentukan untuk mengurangkan positif palsu dan beban kerja yang tidak perlu untuk profesional keselamatan.
Antara ciri utama Panther adalah seperti berikut:
- Pengesanan akses tanpa kebenaran kepada sumber dengan menganalisis log.
- Pengesanan ancaman, dilaksanakan dengan mencari log untuk penunjuk yang menunjukkan masalah keselamatan. Carian dijalankan menggunakan medan data piawai Panter.
- Menyemak sistem untuk pematuhan dengan standard SOC/PCI/HIPAA menggunakan Mekanisme Panther.
- Lindungi sumber awan anda dengan membetulkan ralat konfigurasi secara automatik yang boleh menyebabkan masalah serius jika dieksploitasi oleh penyerang.
Panther digunakan pada awan AWS organisasi menggunakan AWS CloudFormation. Ini membolehkan pengguna sentiasa mengawal datanya.
Keputusan
Memantau keselamatan sistem adalah tugas kritikal hari ini. Dalam menyelesaikan masalah ini, syarikat dalam apa jua saiz boleh dibantu oleh alat sumber terbuka yang memberikan banyak peluang dan hampir tiada kos atau percuma.
Pembaca yang dihormati! Apakah alat pemantauan keselamatan yang anda gunakan?
Sumber: www.habr.com