De wijdverbreide adoptie van cloud computing helpt bedrijven hun activiteiten op te schalen. Maar het gebruik van nieuwe platforms betekent ook de opkomst van nieuwe dreigingen. Het onderhouden van een eigen team binnen een organisatie die verantwoordelijk is voor het bewaken van de veiligheid van clouddiensten is geen gemakkelijke taak. Bestaande monitoringtools zijn duur en traag. Ze zijn tot op zekere hoogte moeilijk te beheren als het gaat om het beveiligen van grootschalige cloudinfrastructuur. Om hun cloudbeveiliging op een hoog niveau te houden, hebben bedrijven krachtige, flexibele en intuïtieve tools nodig die verder gaan dan wat voorheen beschikbaar was. Dit is waar open source-technologieën erg handig zijn, omdat ze helpen beveiligingsbudgetten te besparen en worden gemaakt door specialisten die veel over hun bedrijf weten.
Het artikel, waarvan we de vertaling vandaag publiceren, geeft een overzicht van 7 open source tools voor het monitoren van de veiligheid van cloudsystemen. Deze tools zijn ontworpen om bescherming te bieden tegen hackers en cybercriminelen door afwijkingen en onveilige activiteiten te detecteren.
1. Osquerie
is een systeem voor monitoring en analyse op laag niveau van besturingssystemen waarmee beveiligingsprofessionals complexe datamining kunnen uitvoeren met behulp van SQL. Het Osquery-framework kan draaien op Linux, macOS, Windows en FreeBSD. Het vertegenwoordigt het besturingssysteem (OS) als een krachtige relationele database. Hierdoor kunnen beveiligingsspecialisten het besturingssysteem onderzoeken door SQL-query's uit te voeren. Met behulp van een query kunt u bijvoorbeeld meer te weten komen over actieve processen, geladen kernelmodules, open netwerkverbindingen, geïnstalleerde browserextensies, hardwaregebeurtenissen en bestandshashes.
Het Osquery-framework is gemaakt door Facebook. De code was in 2014 open source, nadat het bedrijf zich realiseerde dat niet alleen zijzelf tools nodig hadden om de mechanismen op laag niveau van besturingssystemen te monitoren. Sindsdien wordt Osquery gebruikt door specialisten van bedrijven als Dactiv, Google, Kolide, Trail of Bits, Uptycs en vele anderen. Het was onlangs dat de Linux Foundation en Facebook een fonds gaan vormen ter ondersteuning van Osquery.
Met de hostmonitoring-daemon van Osquery, genaamd osqueryd, kunt u query's plannen die gegevens verzamelen uit de hele infrastructuur van uw organisatie. De daemon verzamelt queryresultaten en creëert logboeken die veranderingen in de status van de infrastructuur weerspiegelen. Dit kan beveiligingsprofessionals helpen op de hoogte te blijven van de status van het systeem en is vooral handig voor het identificeren van afwijkingen. De logaggregatiemogelijkheden van Osquery kunnen worden gebruikt om u te helpen bekende en onbekende malware te vinden, maar ook om te identificeren waar aanvallers uw systeem zijn binnengekomen en om te ontdekken welke programma's ze hebben geïnstalleerd. Lees meer over afwijkingsdetectie met Osquery.
2.GoAudit
Systeem bestaat uit twee hoofdcomponenten. De eerste is code op kernelniveau die is ontworpen om systeemoproepen te onderscheppen en te monitoren. De tweede component is een gebruikersruimte-daemon genaamd . Het is verantwoordelijk voor het schrijven van auditresultaten naar schijf. , een systeem gemaakt door het bedrijf en uitgebracht in 2016, bedoeld ter vervanging van auditd. Het heeft de logboekmogelijkheden verbeterd door gebeurtenisberichten met meerdere regels, gegenereerd door het Linux-auditsysteem, om te zetten in enkele JSON-blobs voor eenvoudigere analyse. Met GoAudit heeft u via het netwerk rechtstreeks toegang tot mechanismen op kernelniveau. Bovendien kunt u minimale gebeurtenisfiltering op de host zelf inschakelen (of filteren volledig uitschakelen). Tegelijkertijd is GoAudit een project dat niet alleen is ontworpen om de veiligheid te garanderen. Deze tool is ontworpen als een tool met veel functies voor systeemondersteunings- of ontwikkelingsprofessionals. Het helpt problemen in grootschalige infrastructuren te bestrijden.
Het GoAudit-systeem is geschreven in Golang. Het is een typeveilige en krachtige taal. Controleer voordat u GoAudit installeert of uw versie van Golang hoger is dan 1.7.
3. Grijper
Project (Graph Analytics Platform) werd in maart vorig jaar overgezet naar de categorie open source. Het is een relatief nieuw platform voor het detecteren van beveiligingsproblemen, het uitvoeren van computerforensisch onderzoek en het genereren van incidentrapporten. Aanvallers werken vaak met behulp van zoiets als een grafisch model, waarbij ze de controle over een enkel systeem verwerven en andere netwerksystemen verkennen, beginnend vanaf dat systeem. Daarom is het heel natuurlijk dat systeemverdedigers ook een mechanisme zullen gebruiken dat is gebaseerd op een model van een grafiek van verbindingen van netwerksystemen, rekening houdend met de eigenaardigheden van relaties tussen systemen. Grapl demonstreert een poging om incidentdetectie- en responsmaatregelen te implementeren op basis van een grafiekmodel in plaats van een logmodel.
De Grapl-tool neemt beveiligingsgerelateerde logs (Sysmon-logs of logs in regulier JSON-formaat) en converteert deze naar subgrafieken (waarbij voor elk knooppunt een “identiteit” wordt gedefinieerd). Daarna combineert het de subgrafieken in een gemeenschappelijke grafiek (Master Graph), die de acties weergeeft die in de geanalyseerde omgevingen zijn uitgevoerd. Grapl voert vervolgens Analysers uit op de resulterende grafiek met behulp van ‘handtekeningen van de aanvaller’ om afwijkingen en verdachte patronen te identificeren. Wanneer de analysator een verdachte subgrafiek identificeert, genereert Grapl een betrokkenheidsconstructie die bedoeld is voor onderzoek. Engagement is een Python-klasse die bijvoorbeeld kan worden geladen in een Jupyter Notebook die in de AWS-omgeving wordt geïmplementeerd. Grapl kan bovendien de schaal van informatieverzameling voor incidentonderzoek vergroten door middel van grafiekuitbreiding.
Als je Grapl beter wilt begrijpen, kun je een kijkje nemen interessante video - opname van een optreden van BSides Las Vegas 2019.
4. OSSEC
is een project opgericht in 2004. Dit project kan in het algemeen worden gekarakteriseerd als een open-source platform voor beveiligingsmonitoring, ontworpen voor hostanalyse en inbraakdetectie. OSSEC wordt meer dan 500000 keer per jaar gedownload. Dit platform wordt voornamelijk gebruikt om inbraken op servers te detecteren. Bovendien hebben we het over zowel lokale als cloudsystemen. OSSEC wordt ook vaak gebruikt als hulpmiddel voor het onderzoeken van monitoring- en analyselogboeken van firewalls, inbraakdetectiesystemen en webservers, en ook voor het bestuderen van authenticatielogboeken.
OSSEC combineert de mogelijkheden van een Host-Based Inbraakdetectiesysteem (HIDS) met een Security Incident Management (SIM) en Security Information and Event Management (SIEM) systeem. OSSEC kan ook de bestandsintegriteit in realtime bewaken. Deze controleert bijvoorbeeld het Windows-register en detecteert rootkits. OSSEC kan belanghebbenden in realtime op de hoogte stellen van gedetecteerde problemen en helpt snel te reageren op gedetecteerde bedreigingen. Dit platform ondersteunt Microsoft Windows en de meeste moderne Unix-achtige systemen, waaronder Linux, FreeBSD, OpenBSD en Solaris.
Het OSSEC-platform bestaat uit een centrale controle-entiteit, een manager, die wordt gebruikt om informatie van agenten te ontvangen en te monitoren (kleine programma's die op de systemen zijn geïnstalleerd en die moeten worden gemonitord). De manager is geïnstalleerd op een Linux-systeem, dat een database opslaat die wordt gebruikt om de integriteit van bestanden te controleren. Het slaat ook logboeken en records op van gebeurtenissen en systeemauditresultaten.
Het OSSEC-project wordt momenteel ondersteund door Atomicorp. Het bedrijf houdt toezicht op een gratis open source-versie en biedt bovendien aan commerciële versie van het product. podcast waarin de OSSEC-projectmanager vertelt over de nieuwste versie van het systeem - OSSEC 3.0. Er wordt ook gesproken over de geschiedenis van het project en hoe het verschilt van moderne commerciële systemen die worden gebruikt op het gebied van computerbeveiliging.
5. stokstaartje
is een open source-project gericht op het oplossen van de belangrijkste problemen van computerbeveiliging. Het omvat met name een inbraakdetectiesysteem, een inbraakpreventiesysteem en een netwerkbeveiligingsmonitoringtool.
Dit product verscheen in 2009. Zijn werk is gebaseerd op regels. Dat wil zeggen dat degene die het gebruikt de mogelijkheid heeft om bepaalde kenmerken van netwerkverkeer te beschrijven. Als de regel wordt geactiveerd, genereert Suricata een melding, waardoor de verdachte verbinding wordt geblokkeerd of beëindigd, wat wederom afhankelijk is van de opgegeven regels. Het project ondersteunt ook multi-threaded werking. Dit maakt het mogelijk om snel een groot aantal regels te verwerken in netwerken die veel verkeer vervoeren. Dankzij multi-threading-ondersteuning kan een heel gewone server verkeer met een snelheid van 10 Gbit/s succesvol analyseren. In dit geval hoeft de beheerder de set regels die voor verkeersanalyse wordt gebruikt niet te beperken. Suricata ondersteunt ook hashing en het ophalen van bestanden.
Suricata kan worden geconfigureerd om te draaien op reguliere servers of op virtuele machines, zoals AWS, met behulp van een onlangs geïntroduceerde functie in het product .
Het project ondersteunt Lua-scripts, die kunnen worden gebruikt om complexe en gedetailleerde logica te creëren voor het analyseren van bedreigingssignaturen.
Het Suricata-project wordt beheerd door de Open Information Security Foundation (OISF).
6. Zeek (broer)
Net als Suricata, (dit project heette voorheen Bro en werd op BroCon 2018 omgedoopt tot Zeek) is ook een inbraakdetectiesysteem en een netwerkbeveiligingsmonitoringtool die afwijkingen zoals verdachte of gevaarlijke activiteiten kan detecteren. Zeek verschilt van traditionele IDS doordat Zeek, in tegenstelling tot op regels gebaseerde systemen die uitzonderingen detecteren, ook metadata vastlegt die verband houden met wat er op het netwerk gebeurt. Dit wordt gedaan om de context van ongebruikelijk netwerkgedrag beter te begrijpen. Dit maakt het bijvoorbeeld mogelijk om door het analyseren van een HTTP-oproep of de procedure voor het uitwisselen van beveiligingscertificaten naar het protocol, naar de pakketheaders, naar de domeinnamen te kijken.
Als we Zeek beschouwen als een netwerkbeveiligingstool, kunnen we zeggen dat het een specialist de mogelijkheid geeft een incident te onderzoeken door te leren wat er vóór of tijdens het incident is gebeurd. Zeek converteert ook netwerkverkeersgegevens naar gebeurtenissen op hoog niveau en biedt de mogelijkheid om met een scriptinterpreter te werken. De tolk ondersteunt een programmeertaal die wordt gebruikt om met gebeurtenissen te communiceren en om erachter te komen wat die gebeurtenissen precies betekenen in termen van netwerkbeveiliging. De programmeertaal Zeek kan worden gebruikt om de manier waarop metadata worden geïnterpreteerd aan te passen aan de behoeften van een specifieke organisatie. Hiermee kunt u complexe logische voorwaarden opbouwen met behulp van de operatoren AND, OR en NOT. Dit geeft gebruikers de mogelijkheid om aan te passen hoe hun omgevingen worden geanalyseerd. Er moet echter worden opgemerkt dat Zeek, in vergelijking met Suricata, een nogal complex instrument lijkt bij het uitvoeren van verkenningen van veiligheidsdreigingen.
Bent u geïnteresseerd in meer informatie over Zeek, neem dan contact met ons op video.
7. Panter
is een krachtig, native cloud-native platform voor continue beveiligingsmonitoring. Het is onlangs overgebracht naar de open source-categorie. De hoofdarchitect staat aan de oorsprong van het project — oplossingen voor geautomatiseerde loganalyse, waarvan de code door Airbnb werd geopend. Panther geeft de gebruiker één systeem voor het centraal detecteren van bedreigingen in alle omgevingen en het organiseren van een reactie daarop. Dit systeem kan meegroeien met de omvang van de infrastructuur die wordt bediend. De detectie van bedreigingen is gebaseerd op transparante, deterministische regels om valse positieven en onnodige werkdruk voor beveiligingsprofessionals te verminderen.
Tot de belangrijkste kenmerken van Panther behoren de volgende:
- Detectie van ongeautoriseerde toegang tot bronnen door logbestanden te analyseren.
- Bedreigingsdetectie, geïmplementeerd door in logboeken te zoeken naar indicatoren die beveiligingsproblemen aangeven. De zoekopdracht wordt uitgevoerd met behulp van de gestandaardiseerde gegevensvelden van Panter.
- Het systeem controleren op naleving van de SOC/PCI/HIPAA-standaarden met behulp van Panther-mechanismen.
- Bescherm uw cloudbronnen door automatisch configuratiefouten te corrigeren die ernstige problemen kunnen veroorzaken als ze door aanvallers worden uitgebuit.
Panther wordt geïmplementeerd in de AWS-cloud van een organisatie met behulp van AWS CloudFormation. Hierdoor heeft de gebruiker altijd controle over zijn gegevens.
Resultaten van
Het monitoren van de systeembeveiliging is tegenwoordig een cruciale taak. Bij het oplossen van dit probleem kunnen bedrijven van elke omvang worden geholpen door open source-tools die veel mogelijkheden bieden en bijna niets kosten of gratis zijn.
Beste lezers! Welke tools voor beveiligingsmonitoring gebruikt u?
Bron: www.habr.com