Den utbredte bruken av cloud computing hjelper bedrifter med å skalere virksomheten sin. Men bruk av nye plattformer betyr også fremveksten av nye trusler. Å vedlikeholde ditt eget team i en organisasjon som er ansvarlig for å overvåke sikkerheten til skytjenester er ikke en lett oppgave. Eksisterende overvåkingsverktøy er dyre og trege. De er til en viss grad vanskelige å administrere når det gjelder å sikre storskala skyinfrastruktur. For å holde skysikkerheten på et høyt nivå, trenger bedrifter kraftige, fleksible og intuitive verktøy som går utover det som tidligere var tilgjengelig. Det er her åpen kildekode-teknologier kommer veldig godt med, og hjelper til med å spare sikkerhetsbudsjetter og lages av spesialister som vet mye om virksomheten deres.
Artikkelen, oversettelsen av som vi publiserer i dag, gir en oversikt over 7 åpen kildekode-verktøy for overvåking av sikkerheten til skysystemer. Disse verktøyene er utviklet for å beskytte mot hackere og nettkriminelle ved å oppdage anomalier og utrygge aktiviteter.
1. Osquery
er et system for lavnivåovervåking og analyse av operativsystemer som lar sikkerhetseksperter utføre kompleks datautvinning ved hjelp av SQL. Osquery-rammeverket kan kjøres på Linux, macOS, Windows og FreeBSD. Den representerer operativsystemet (OS) som en relasjonsdatabase med høy ytelse. Dette lar sikkerhetsspesialister undersøke operativsystemet ved å kjøre SQL-spørringer. Ved å bruke en spørring kan du for eksempel finne ut om kjørende prosesser, innlastede kjernemoduler, åpne nettverkstilkoblinger, installerte nettleserutvidelser, maskinvarehendelser og filhasher.
Osquery-rammeverket ble laget av Facebook. Koden var åpen kildekode i 2014, etter at selskapet innså at det ikke bare var seg selv som trengte verktøy for å overvåke lavnivåmekanismene til operativsystemer. Siden den gang har Osquery blitt brukt av spesialister fra selskaper som Dactiv, Google, Kolide, Trail of Bits, Uptycs og mange andre. Det var nylig at Linux Foundation og Facebook skal danne et fond for å støtte Osquery.
Osquerys vertsovervåkingsdemon, kalt osqueryd, lar deg planlegge spørringer som samler inn data fra hele organisasjonens infrastruktur. Daemonen samler søkeresultater og lager logger som gjenspeiler endringer i infrastrukturens tilstand. Dette kan hjelpe sikkerhetseksperter med å holde seg oppdatert på statusen til systemet og er spesielt nyttig for å identifisere uregelmessigheter. Osquerys loggaggregeringsfunksjoner kan brukes til å hjelpe deg med å finne kjent og ukjent skadelig programvare, samt identifisere hvor angripere har kommet inn på systemet ditt og finne hvilke programmer de har installert. Les mer om avviksdeteksjon ved hjelp av Osquery.
2.GoAudit
System består av to hovedkomponenter. Den første er en kode på kjernenivå designet for å avskjære og overvåke systemanrop. Den andre komponenten er en brukerplassdemon kalt . Den er ansvarlig for å skrive revisjonsresultater til disk. , et system laget av selskapet og utgitt i 2016, ment å erstatte revidert. Den har forbedret loggingsmuligheter ved å konvertere multi-line hendelsesmeldinger generert av Linux-revisjonssystemet til enkelt JSON-blobber for enklere analyse. Med GoAudit kan du få direkte tilgang til mekanismer på kjernenivå over nettverket. I tillegg kan du aktivere minimal hendelsesfiltrering på selve verten (eller deaktivere filtrering helt). Samtidig er GoAudit et prosjekt designet ikke bare for å sikre sikkerhet. Dette verktøyet er designet som et funksjonsrikt verktøy for systemstøtte- eller utviklingseksperter. Det hjelper med å bekjempe problemer i storskala infrastruktur.
GoAudit-systemet er skrevet i Golang. Det er et typesikkert språk med høy ytelse. Før du installerer GoAudit, sjekk at din versjon av Golang er høyere enn 1.7.
3. Grapl
Prosjekt (Graph Analytics Platform) ble overført til kategorien åpen kildekode i mars i fjor. Det er en relativt ny plattform for å oppdage sikkerhetsproblemer, utføre dataetterforskning og generere hendelsesrapporter. Angripere jobber ofte ved å bruke noe som en grafmodell, får kontroll over et enkelt system og utforsker andre nettverkssystemer med utgangspunkt i det systemet. Derfor er det ganske naturlig at systemforsvarere også vil bruke en mekanisme basert på en modell av en graf over tilkoblinger av nettverkssystemer, under hensyntagen til særegenhetene ved relasjoner mellom systemer. Grapl demonstrerer et forsøk på å implementere hendelsesdeteksjon og responstiltak basert på en grafmodell i stedet for en loggmodell.
Grapl-verktøyet tar sikkerhetsrelaterte logger (Sysmon-logger eller logger i vanlig JSON-format) og konverterer dem til undergrafer (definerer en "identitet" for hver node). Etter det kombinerer den undergrafene til en felles graf (Master Graph), som representerer handlingene utført i de analyserte miljøene. Grapl kjører deretter Analyzers på den resulterende grafen ved å bruke "angripersignaturer" for å identifisere anomalier og mistenkelige mønstre. Når analysatoren identifiserer en mistenkelig subgraf, genererer Grapl en Engagement-konstruksjon beregnet for undersøkelse. Engagement er en Python-klasse som for eksempel kan lastes inn i en Jupyter Notebook distribuert i AWS-miljøet. Grapl kan i tillegg øke omfanget av informasjonsinnsamling for hendelsesundersøkelser gjennom grafutvidelse.
Hvis du vil forstå Grapl bedre, kan du ta en titt interessant video - opptak av en forestilling fra BSides Las Vegas 2019.
4. OSSEC
er et prosjekt grunnlagt i 2004. Dette prosjektet kan generelt karakteriseres som en åpen kildekode-sikkerhetsovervåkingsplattform designet for vertsanalyse og inntrengningsdeteksjon. OSSEC lastes ned mer enn 500000 XNUMX ganger i året. Denne plattformen brukes hovedsakelig som et middel til å oppdage inntrenging på servere. Dessuten snakker vi om både lokale og skysystemer. OSSEC brukes også ofte som et verktøy for å undersøke overvåkings- og analyselogger for brannmurer, inntrengningsdeteksjonssystemer, webservere, og også for å studere autentiseringslogger.
OSSEC kombinerer egenskapene til et vertsbasert inntrengningsdeteksjonssystem (HIDS) med et Security Incident Management (SIM) og Security Information and Event Management (SIEM) system. . OSSEC kan også overvåke filintegritet i sanntid. Dette overvåker for eksempel Windows-registret og oppdager rootkits. OSSEC er i stand til å varsle interessenter om oppdagede problemer i sanntid og hjelper til med å reagere raskt på oppdagede trusler. Denne plattformen støtter Microsoft Windows og de fleste moderne Unix-lignende systemer, inkludert Linux, FreeBSD, OpenBSD og Solaris.
OSSEC-plattformen består av en sentral kontrollenhet, en leder, som brukes til å motta og overvåke informasjon fra agenter (små programmer installert på systemene som må overvåkes). Behandleren er installert på et Linux-system, som lagrer en database som brukes til å sjekke integriteten til filer. Den lagrer også logger og registreringer av hendelser og systemrevisjonsresultater.
OSSEC-prosjektet er for tiden støttet av Atomicorp. Selskapet fører tilsyn med en gratis åpen kildekodeversjon, og tilbyr i tillegg kommersiell versjon av produktet. podcast der OSSEC-prosjektlederen snakker om den siste versjonen av systemet - OSSEC 3.0. Den snakker også om historien til prosjektet, og hvordan det skiller seg fra moderne kommersielle systemer som brukes innen datasikkerhet.
5. surikat
er et åpen kildekode-prosjekt fokusert på å løse hovedproblemene med datasikkerhet. Spesielt inkluderer det et inntrengningsdeteksjonssystem, et inntrengingsforebyggende system og et overvåkingsverktøy for nettverkssikkerhet.
Dette produktet dukket opp i 2009. Hans arbeid er basert på regler. Det vil si at den som bruker den har mulighet til å beskrive enkelte funksjoner ved nettverkstrafikk. Hvis regelen utløses, genererer Suricata et varsel, blokkerer eller avslutter den mistenkelige forbindelsen, som igjen avhenger av de spesifiserte reglene. Prosjektet støtter også flertrådsdrift. Dette gjør det mulig å raskt behandle et stort antall regler i nettverk som fører store mengder trafikk. Takket være støtte for flere tråder kan en helt vanlig server med suksess analysere trafikk som reiser med en hastighet på 10 Gbit/s. I dette tilfellet trenger ikke administratoren å begrense settet med regler som brukes for trafikkanalyse. Suricata støtter også hashing og filhenting.
Suricata kan konfigureres til å kjøre på vanlige servere eller på virtuelle maskiner, for eksempel AWS, ved å bruke en nylig introdusert funksjon i produktet .
Prosjektet støtter Lua-skript, som kan brukes til å lage kompleks og detaljert logikk for å analysere trusselsignaturer.
Suricata-prosjektet ledes av Open Information Security Foundation (OISF).
6. Zeek (bror)
Som Suricata, (dette prosjektet ble tidligere kalt Bro og ble omdøpt til Zeek på BroCon 2018) er også et inntrengningsdeteksjonssystem og nettverkssikkerhetsovervåkingsverktøy som kan oppdage uregelmessigheter som mistenkelig eller farlig aktivitet. Zeek skiller seg fra tradisjonell IDS ved at i motsetning til regelbaserte systemer som oppdager unntak, fanger Zeek også opp metadata knyttet til det som skjer på nettverket. Dette gjøres for å bedre forstå konteksten til uvanlig nettverksatferd. Dette gjør det mulig, for eksempel ved å analysere et HTTP-kall eller prosedyren for utveksling av sikkerhetssertifikater, å se på protokollen, på pakkehodene, på domenenavnene.
Hvis vi vurderer Zeek som et nettverkssikkerhetsverktøy, så kan vi si at det gir en spesialist muligheten til å undersøke en hendelse ved å lære om hva som skjedde før eller under hendelsen. Zeek konverterer også nettverkstrafikkdata til hendelser på høyt nivå og gir muligheten til å jobbe med en skripttolk. Tolken støtter et programmeringsspråk som brukes til å samhandle med hendelser og for å finne ut nøyaktig hva disse hendelsene betyr når det gjelder nettverkssikkerhet. Zeek-programmeringsspråket kan brukes til å tilpasse hvordan metadata tolkes for å passe en spesifikk organisasjons behov. Den lar deg bygge komplekse logiske forhold ved å bruke AND-, OR- og NOT-operatorene. Dette gir brukerne muligheten til å tilpasse hvordan deres miljøer analyseres. Det skal imidlertid bemerkes at sammenlignet med Suricata, kan Zeek virke som et ganske komplekst verktøy når du utfører rekognosering av sikkerhetstrusler.
Hvis du er interessert i mer informasjon om Zeek, vennligst kontakt video.
7. Panter
er en kraftig, naturlig skybasert plattform for kontinuerlig sikkerhetsovervåking. Den ble nylig overført til kategorien åpen kildekode. Hovedarkitekten er opphavet til prosjektet — løsninger for automatisert logganalyse, hvis kode ble åpnet av Airbnb. Panther gir brukeren et enkelt system for sentralt å oppdage trusler i alle miljøer og organisere en respons på dem. Dette systemet er i stand til å vokse sammen med størrelsen på infrastrukturen som betjenes. Trusseldeteksjon er basert på transparente, deterministiske regler for å redusere falske positiver og unødvendig arbeidsbelastning for sikkerhetspersonell.
Blant hovedtrekkene til Panther er følgende:
- Deteksjon av uautorisert tilgang til ressurser ved å analysere logger.
- Trusseldeteksjon, implementert ved å søke i logger etter indikatorer som indikerer sikkerhetsproblemer. Søket utføres ved hjelp av Panters standardiserte datafelt.
- Kontrollere systemet for samsvar med SOC/PCI/HIPAA-standarder ved hjelp av Panther mekanismer.
- Beskytt skyressursene dine ved å automatisk korrigere konfigurasjonsfeil som kan forårsake alvorlige problemer hvis de utnyttes av angripere.
Panther er distribuert på en organisasjons AWS-sky ved hjelp av AWS CloudFormation. Dette lar brukeren alltid ha kontroll over dataene sine.
Resultater av
Overvåking av systemsikkerhet er en kritisk oppgave i disse dager. For å løse dette problemet kan selskaper av alle størrelser få hjelp av åpen kildekode-verktøy som gir mange muligheter og koster nesten ingenting eller er gratis.
Kjære lesere! Hvilke sikkerhetsovervåkingsverktøy bruker du?
Kilde: www.habr.com