L-adozzjoni mifruxa tal-cloud computing tgħin lill-kumpaniji jżidu n-negozju tagħhom. Iżda l-użu ta' pjattaformi ġodda jfisser ukoll il-ħolqien ta' theddid ġdid. Iż-żamma tat-tim tiegħek stess fi ħdan organizzazzjoni responsabbli għall-monitoraġġ tas-sigurtà tas-servizzi tal-cloud mhix biċċa xogħol faċli. L-għodod ta' monitoraġġ eżistenti huma għaljin u bil-mod. Huma, sa ċertu punt, diffiċli biex jiġu mmaniġġjati meta tiġi biex tiġi żgurata infrastruttura tal-cloud fuq skala kbira. Biex iżommu s-sigurtà tal-cloud tagħhom f'livell għoli, il-kumpaniji jeħtieġu għodod b'saħħithom, flessibbli u intuwittivi li jmorru lil hinn minn dak li kien disponibbli qabel. Dan huwa fejn it-teknoloġiji open source huma utli ħafna, jgħinu biex jiffrankaw il-baġits tas-sigurtà u jinħolqu minn speċjalisti li jafu ħafna dwar in-negozju tagħhom.
L-artiklu, li t-traduzzjoni tiegħu qed nippubblikaw illum, jipprovdi ħarsa ġenerali ta’ 7 għodod open source għall-monitoraġġ tas-sigurtà tas-sistemi tal-cloud. Dawn l-għodod huma mfassla biex jipproteġu kontra l-hackers u ċ-ċiberkriminali billi jiskopru anomaliji u attivitajiet mhux sikuri.
1. Osquery
hija sistema għal monitoraġġ u analiżi ta 'livell baxx ta' sistemi operattivi li tippermetti lill-professjonisti tas-sigurtà biex iwettqu tħaffir tad-dejta kumplessi bl-użu ta 'SQL. Il-qafas Osquery jista' jaħdem fuq Linux, macOS, Windows u FreeBSD. Jirrappreżenta s-sistema operattiva (OS) bħala database relazzjonali ta 'prestazzjoni għolja. Dan jippermetti lill-ispeċjalisti tas-sigurtà jeżaminaw l-OS billi jmexxu mistoqsijiet SQL. Pereżempju, billi tuża mistoqsija, tista 'ssir taf dwar proċessi li qed jaħdmu, moduli tal-kernel mgħobbija, konnessjonijiet tan-netwerk miftuħin, estensjonijiet tal-browser installati, avvenimenti tal-ħardwer, u hashes tal-fajls.
Il-qafas Osquery inħoloq minn Facebook. Il-kodiċi tiegħu kien open source fl-2014, wara li l-kumpanija rrealizzaw li ma kinitx biss hi stess li kellha bżonn għodod biex timmonitorja l-mekkaniżmi ta 'livell baxx tas-sistemi operattivi. Minn dakinhar, Osquery intuża minn speċjalisti minn kumpaniji bħal Dactiv, Google, Kolide, Trail of Bits, Uptycs, u ħafna oħrajn. Kien dan l-aħħar li l-Linux Foundation u Facebook se jiffurmaw fond biex jappoġġjaw Osquery.
Id-daemon ta' monitoraġġ tal-host ta' Osquery, imsejjaħ osqueryd, jippermettilek li tiskeda mistoqsijiet li jiġbru dejta minn madwar l-infrastruttura tal-organizzazzjoni tiegħek. Id-daemon jiġbor ir-riżultati tal-mistoqsija u joħloq zkuk li jirriflettu bidliet fl-istat tal-infrastruttura. Dan jista 'jgħin lill-professjonisti tas-sigurtà jibqgħu aġġornati mal-istatus tas-sistema u huwa speċjalment utli għall-identifikazzjoni ta' anomaliji. Il-kapaċitajiet ta' aggregazzjoni ta' log ta' Osquery jistgħu jintużaw biex jgħinuk issib malware magħruf u mhux magħruf, kif ukoll tidentifika fejn l-attakkanti daħlu fis-sistema tiegħek u ssib liema programmi installaw. Aqra aktar dwar l-iskoperta ta' anomaliji billi tuża Osquery.
2.GoAudit
Sistema tikkonsisti f'żewġ komponenti ewlenin. L-ewwel huwa xi kodiċi fil-livell tal-kernel iddisinjat biex jinterċetta u jimmonitorja s-sejħiet tas-sistema. It-tieni komponent huwa demon tal-ispazju tal-utent imsejjaħ . Huwa responsabbli għall-kitba tar-riżultati tal-verifika fuq disk. , sistema maħluqa mill-kumpanija u rilaxxati fl-2016, maħsuba biex jissostitwixxu auditd. Tejbet il-kapaċitajiet tal-illoggjar billi kkonvertit messaġġi ta 'avvenimenti b'ħafna linji ġġenerati mis-sistema ta' verifika Linux f'blobs JSON singoli għal analiżi aktar faċli. B'GoAudit, tista' taċċessa direttament mekkaniżmi fil-livell tal-kernel fuq in-netwerk. Barra minn hekk, tista 'tippermetti l-iffiltrar minimu tal-avvenimenti fuq l-host innifsu (jew tiddiżattiva kompletament il-filtrazzjoni). Fl-istess ħin, GoAudit huwa proġett imfassal mhux biss biex jiżgura s-sigurtà. Din l-għodda hija mfassla bħala għodda b'ħafna karatteristiċi għal professjonisti ta 'appoġġ jew żvilupp ta' sistemi. Jgħin fil-ġlieda kontra l-problemi f'infrastrutturi fuq skala kbira.
Is-sistema GoAudit hija miktuba fil-Golang. Hija lingwa ta 'tip sikur u ta' prestazzjoni għolja. Qabel ma tinstalla GoAudit, iċċekkja li l-verżjoni tiegħek ta' Golang hija ogħla minn 1.7.
3. Grapl
Proġett (Pjattaforma ta 'Graph Analytics) ġiet trasferita għall-kategorija ta' sors miftuħ f'Marzu tas-sena li għaddiet. Hija pjattaforma relattivament ġdida biex tiskopri kwistjonijiet ta 'sigurtà, twettaq forensika tal-kompjuter, u tiġġenera rapporti ta' inċidenti. L-attakkanti ħafna drabi jaħdmu billi jużaw xi ħaġa bħal mudell tal-graff, jiksbu kontroll ta 'sistema waħda u jesploraw sistemi ta' netwerk oħra li jibdew minn dik is-sistema. Għalhekk, huwa pjuttost naturali li d-difensuri tas-sistema jużaw ukoll mekkaniżmu bbażat fuq mudell ta 'graff ta' konnessjonijiet ta 'sistemi tan-netwerk, b'kont meħud tal-partikolaritajiet tar-relazzjonijiet bejn is-sistemi. Grapl juri tentattiv biex jimplimenta miżuri ta' sejbien u rispons ta' inċidenti bbażati fuq mudell ta' graff aktar milli mudell ta' log.
L-għodda Grapl tieħu zkuk relatati mas-sigurtà (zkuk ta 'Sysmon jew zkuk f'format JSON regolari) u tikkonvertihom f'subgrafi (tiddefinixxi "identità" għal kull nodu). Wara dan, tgħaqqad is-subgraffi f'graff komuni (Master Graph), li tirrappreżenta l-azzjonijiet imwettqa fl-ambjenti analizzati. Grapl imbagħad imexxi Analizzaturi fuq il-graff li jirriżulta billi juża "firem tal-attakkant" biex jidentifika anomaliji u mudelli suspettużi. Meta l-analizzatur jidentifika subgrafu suspettuż, Grapl jiġġenera kostruzzjoni ta' Ingaġġ maħsub għall-investigazzjoni. Engagement hija klassi Python li tista' titgħabba, pereżempju, f'Jupyter Notebook skjerata fl-ambjent AWS. Grapl, barra minn hekk, jista 'jżid l-iskala tal-ġbir ta' informazzjoni għall-investigazzjoni ta 'inċidenti permezz ta' espansjoni tal-graff.
Jekk trid tifhem aħjar lil Grapl, tista’ tagħti ħarsa vidjo interessanti - reġistrazzjoni ta' prestazzjoni minn BSides Las Vegas 2019.
4. OSSEC
huwa proġett imwaqqaf fl-2004. Dan il-proġett, b'mod ġenerali, jista 'jiġi kkaratterizzat bħala pjattaforma ta' monitoraġġ tas-sigurtà ta 'sors miftuħ iddisinjat għall-analiżi tal-host u l-iskoperta tal-intrużjoni. L-OSSEC titniżżel aktar minn 500000 darba fis-sena. Din il-pjattaforma hija użata prinċipalment bħala mezz ta 'skoperta ta' intrużjonijiet fuq servers. Barra minn hekk, qed nitkellmu kemm dwar is-sistemi lokali kif ukoll dwar is-sħab. L-OSSEC spiss jintuża wkoll bħala għodda biex jiġu eżaminati r-reġistri ta 'monitoraġġ u analiżi ta' firewalls, sistemi ta 'sejbien ta' intrużjoni, servers tal-web, u wkoll għall-istudju ta 'logs ta' awtentikazzjoni.
L-OSSEC tgħaqqad il-kapaċitajiet ta' Sistema ta' Sejbien ta' Intrużjoni Ibbażata fuq Ospitanti (HIDS) ma' sistema ta' Ġestjoni ta' Inċidenti ta' Sigurtà (SIM) u Sistema ta' Ġestjoni ta' Informazzjoni u Avvenimenti tas-Sigurtà (SIEM). L-OSSEC tista' wkoll tissorvelja l-integrità tal-fajl f'ħin reali. Dan, pereżempju, jimmonitorja r-reġistru tal-Windows u jiskopri rootkits. L-OSSEC hija kapaċi tinnotifika lill-partijiet interessati dwar problemi skoperti f'ħin reali u tgħin biex tirrispondi malajr għal theddid skopert. Din il-pjattaforma tappoġġja l-Microsoft Windows u l-biċċa l-kbira tas-sistemi moderni bħal Unix, inklużi Linux, FreeBSD, OpenBSD u Solaris.
Il-pjattaforma OSSEC tikkonsisti f'entità ta' kontroll ċentrali, maniġer, użata biex tirċievi u timmonitorja informazzjoni minn aġenti (programmi żgħar installati fuq is-sistemi li jeħtieġ li jiġu mmonitorjati). Il-maniġer huwa installat fuq sistema Linux, li taħżen database użata biex tiċċekkja l-integrità tal-fajls. Taħżen ukoll zkuk u rekords ta 'avvenimenti u riżultati tal-verifika tas-sistema.
Il-proġett OSSEC bħalissa huwa appoġġjat minn Atomicorp. Il-kumpanija tissorvelja verżjoni b'xejn ta 'sors miftuħ, u, barra minn hekk, toffri verżjoni kummerċjali tal-prodott. podcast li fih il-maniġer tal-proġett OSSEC jitkellem dwar l-aħħar verżjoni tas-sistema - OSSEC 3.0. Jitkellem ukoll dwar l-istorja tal-proġett, u kif huwa differenti minn sistemi kummerċjali moderni użati fil-qasam tas-sigurtà tal-kompjuter.
5. meerkat
huwa proġett ta' sors miftuħ iffukat fuq is-soluzzjoni tal-problemi ewlenin tas-sigurtà tal-kompjuter. B'mod partikolari, tinkludi sistema ta 'skoperta ta' intrużjoni, sistema ta 'prevenzjoni ta' intrużjoni, u għodda ta 'monitoraġġ tas-sigurtà tan-netwerk.
Dan il-prodott deher fl-2009. Ix-xogħol tiegħu huwa bbażat fuq regoli. Jiġifieri, min jużaha għandu l-opportunità li jiddeskrivi ċerti karatteristiċi tat-traffiku tan-netwerk. Jekk ir-regola tiġi attivata, Suricata tiġġenera notifika, timblokka jew ttemm il-konnessjoni suspettuża, li, għal darb'oħra, tiddependi fuq ir-regoli speċifikati. Il-proġett jappoġġa wkoll tħaddim b'ħafna kamini. Dan jagħmilha possibbli li jiġi pproċessat malajr numru kbir ta' regoli f'netwerks li jġorru volumi kbar ta' traffiku. Grazzi għall-appoġġ multi-threading, server kompletament ordinarju huwa kapaċi janalizza b'suċċess it-traffiku li jivvjaġġa b'veloċità ta '10 Gbit/s. F'dan il-każ, l-amministratur m'għandux għalfejn jillimita s-sett ta' regoli użati għall-analiżi tat-traffiku. Suricata jappoġġja wkoll il-hashing u l-irkupru tal-fajls.
Suricata jista 'jiġi kkonfigurat biex jaħdem fuq servers regolari jew fuq magni virtwali, bħal AWS, bl-użu ta' karatteristika introdotta reċentement fil-prodott .
Il-proġett jappoġġja skripts Lua, li jistgħu jintużaw biex joħolqu loġika kumplessa u dettaljata għall-analiżi tal-firem tat-theddid.
Il-proġett Suricata huwa mmexxi mill-Open Information Security Foundation (OISF).
6. Zeek (Bro)
Bħal Suricata, (dan il-proġett qabel kien jissejjaħ Bro u ngħata l-isem ġdid ta’ Zeek f’BroCon 2018) huwa wkoll sistema ta’ skoperta ta’ intrużjoni u għodda ta’ monitoraġġ tas-sigurtà tan-netwerk li tista’ tiskopri anomaliji bħal attività suspettuża jew perikoluża. Zeek huwa differenti mill-IDS tradizzjonali peress li, kuntrarjament għal sistemi bbażati fuq regoli li jiskopru eċċezzjonijiet, Zeek jaqbad ukoll metadata assoċjata ma 'dak li qed jiġri fuq in-netwerk. Dan isir sabiex jifhem aħjar il-kuntest tal-imġiba mhux tas-soltu tan-netwerk. Dan jippermetti, pereżempju, billi tiġi analizzata sejħa HTTP jew il-proċedura għall-iskambju taċ-ċertifikati tas-sigurtà, li wieħed iħares lejn il-protokoll, l-intestaturi tal-pakketti, l-ismijiet tad-dominju.
Jekk inqisu Zeek bħala għodda tas-sigurtà tan-netwerk, allura nistgħu ngħidu li tagħti speċjalista l-opportunità li jinvestiga inċident billi jitgħallem dwar dak li ġara qabel jew waqt l-inċident. Zeek jikkonverti wkoll id-dejta tat-traffiku tan-netwerk f'avvenimenti ta 'livell għoli u jipprovdi l-abbiltà li jaħdem ma' interpretu tal-iskript. L-interpretu jappoġġja lingwa ta' programmar li tintuża biex jinteraġixxi ma' avvenimenti u biex insemmu xi jfissru eżattament dawk l-avvenimenti f'termini ta' sigurtà tan-netwerk. Il-lingwa ta 'programmar Zeek tista' tintuża biex tippersonalizza kif il-metadata tiġi interpretata biex taqdi l-ħtiġijiet ta 'organizzazzjoni speċifika. Jippermettilek tibni kundizzjonijiet loġiċi kumplessi billi tuża l-operaturi AND, OR u NOT. Dan jagħti lill-utenti l-abbiltà li jippersonalizzaw kif jiġu analizzati l-ambjenti tagħhom. Madankollu, għandu jiġi nnutat li, meta mqabbel ma 'Suricata, Zeek jista' jidher bħala għodda pjuttost kumplessa meta twettaq tkixxif ta 'theddid għas-sigurtà.
Jekk inti interessat f'aktar dettalji dwar Zeek, jekk jogħġbok ikkuntattja il-video.
7. Pantera
hija pjattaforma b'saħħitha, nattivament nattiva tal-cloud għal monitoraġġ kontinwu tas-sigurtà. Dan l-aħħar ġie trasferit għall-kategorija open source. Il-perit ewlieni jinsab fl-oriġini tal-proġett — soluzzjonijiet għall-analiżi awtomatizzata ta’ log, li l-kodiċi tagħhom infetaħ minn Airbnb. Panther jagħti lill-utent sistema waħda biex jiskopri ċentralment it-theddid fl-ambjenti kollha u jorganizza rispons għalihom. Din is-sistema kapaċi tikber flimkien mad-daqs tal-infrastruttura li qed tiġi moqdija. Is-sejbien tat-theddid huwa bbażat fuq regoli trasparenti u deterministiċi biex jitnaqqsu l-pożittivi foloz u l-ammont ta’ xogħol bla bżonn għall-professjonisti tas-sigurtà.
Fost il-karatteristiċi ewlenin ta 'Panther hemm dawn li ġejjin:
- Sejbien ta' aċċess mhux awtorizzat għar-riżorsi billi jiġu analizzati zkuk.
- L-iskoperta tat-theddid, implimentata bit-tfittxija ta' zkuk għal indikaturi li jindikaw problemi ta' sigurtà. It-tfittxija ssir bl-użu tal-oqsma tad-dejta standardizzati ta' Panter.
- Iċċekkjar tas-sistema għall-konformità mal-istandards SOC/PCI/HIPAA bl-użu Mekkaniżmi Panther.
- Ipproteġi r-riżorsi tal-cloud tiegħek billi tikkoreġi awtomatikament l-iżbalji tal-konfigurazzjoni li jistgħu jikkawżaw problemi serji jekk jiġu sfruttati minn attakkanti.
Panther huwa skjerat fuq AWS cloud ta' organizzazzjoni bl-użu ta' AWS CloudFormation. Dan jippermetti lill-utent li jkun dejjem fil-kontroll tad-data tiegħu.
Riżultati ta '
Il-monitoraġġ tas-sigurtà tas-sistema huwa kompitu kritiku f'dawn il-jiem. Biex issolvi din il-problema, kumpaniji ta 'kull daqs jistgħu jiġu megħjuna minn għodod open source li jipprovdu ħafna opportunitajiet u jiswew kważi xejn jew huma b'xejn.
Għeżież qarrejja! Liema għodod ta' monitoraġġ tas-sigurtà tuża?
Sors: www.habr.com