Широкое распространение облачных вычислений помогает компаниям в масштабировании бизнеса. Но применение новых платформ означает и появление новых угроз. Поддержка внутри организации собственной команды, отвечающий за мониторинг безопасности облачных служб, это дело непростое. Существующие инструменты мониторинга дороги и медленны. Ими, в какой-то степени, тяжело управлять в том случае, если нужно обеспечить безопасность крупномасштабной облачной инфраструктуры. Компаниям, для того, чтобы поддерживать свою облачную безопасность на высоком уровне, нужны мощные, гибкие и понятные инструменты, возможности которых превышают возможности того, что было доступно раньше. Именно тут оказываются очень кстати опенсорсные технологии, которые помогают экономить бюджеты на безопасность и создаются силами специалистов, знающих толк в своём деле.
Nkhaniyi, yomasulira yomwe tikusindikiza lero, ikupereka chithunzithunzi cha zida 7 zotseguka zowunikira chitetezo cha machitidwe amtambo. Zida izi zidapangidwa kuti zitetezedwe kwa anthu owononga ndi ophwanya malamulo pa intaneti pozindikira zolakwika ndi zochitika zosatetezeka.
1. Osquery
ndi dongosolo loyang'anira otsika ndikuwunika machitidwe omwe amalola akatswiri achitetezo kuti azichita migodi yovuta ya data pogwiritsa ntchito SQL. Mawonekedwe a Osquery amatha kugwira ntchito pa Linux, macOS, Windows ndi FreeBSD. Imayimira makina ogwiritsira ntchito (OS) ngati malo osungira ogwirizana kwambiri. Izi zimalola akatswiri achitetezo kuti ayang'ane OS pogwiritsa ntchito mafunso a SQL. Mwachitsanzo, pogwiritsa ntchito funso, mutha kudziwa za njira zoyendetsera, ma module odzaza kernel, maulumikizidwe otseguka a netiweki, owonjezera asakatuli oyika, zochitika zama Hardware, ndi ma hashes amafayilo.
Osquery framework idapangidwa ndi Facebook. Khodi yake idatsegulidwa mu 2014, kampaniyo itazindikira kuti sizinali zokha zomwe zimafunikira zida zowunikira njira zotsika zogwirira ntchito. Kuyambira pamenepo, Osquery yakhala ikugwiritsidwa ntchito ndi akatswiri ochokera kumakampani monga Dactiv, Google, Kolide, Trail of Bits, Uptycs, ndi ena ambiri. Zachitika posachedwa kuti Linux Foundation ndi Facebook apanga thumba lothandizira Osquery.
Daemon yoyang'anira omvera a Osquery, yotchedwa osqueryd, imakupatsani mwayi wokonza mafunso omwe amasonkhanitsira deta kuchokera pagulu lanu lonse. Daemon imasonkhanitsa zotsatira za mafunso ndikupanga zolemba zomwe zikuwonetsa kusintha kwazomwe zikuchitika. Izi zitha kuthandiza akatswiri achitetezo kuti azidziwa momwe dongosololi lilili ndipo ndizothandiza kwambiri kuzindikira zolakwika. Kuthekera kwa log aggregation ya Osquery kutha kugwiritsidwa ntchito kukuthandizani kupeza pulogalamu yaumbanda yodziwika komanso yosadziwika, komanso kudziwa komwe omwe akuukira adalowa mudongosolo lanu ndikupeza mapulogalamu omwe adayika. Werengani zambiri za kuzindikira kwachilendo pogwiritsa ntchito Osquery.
2.GoAudit
dongosolo lili ndi zigawo zikuluzikulu ziwiri. Yoyamba ndi nambala ya kernel yopangidwa kuti igwire ndikuwunika mafoni amtundu. Chigawo chachiwiri ndi daemon ya danga la ogwiritsa ntchito yotchedwa . Ili ndi udindo wolemba zotsatira zowerengera ku disk. , dongosolo lopangidwa ndi kampani ndipo idatulutsidwa mu 2016, yofuna kusintha auditd. Yakulitsa luso lodula mitengo potembenuza mauthenga amizere angapo opangidwa ndi makina owerengera a Linux kukhala mabulogu amodzi a JSON kuti awunike mosavuta. Ndi GoAudit, mutha kulumikizana mwachindunji ndi makina a kernel pamaneti. Kuphatikiza apo, mutha kuloleza kusefa kochepa pamwambowo (kapena kuletsa kusefa kwathunthu). Nthawi yomweyo, GoAudit ndi pulojekiti yomwe idapangidwa osati kuonetsetsa chitetezo. Chida ichi chapangidwa ngati chida cholemera kwambiri chothandizira machitidwe kapena akatswiri achitukuko. Zimathandizira kuthana ndi mavuto m'magawo akuluakulu.
Система GoAudit написана на Golang. Это — типобезопасный и высокопроизводительный язык. Перед установкой GoAudit проверьте, чтобы имеющаяся у вас версия Golang была бы выше 1.7.
3. Kujambula
Ntchitoyi (Graph Analytics Platform) был переведён в разряд опенсорсных в марте прошлого года. Это — сравнительно новая платформа для обнаружения проблем с безопасностью, для проведения компьютерной криминалистической экспертизы и для формирования отчётов о происшествиях. Атакующие часто работают, пользуясь чем-то вроде модели графа, получая контроль над некоей отдельной системой и занимаясь исследованием других сетевых систем, начиная с этой системы. Поэтому вполне естественно то, что и защитники систем будут использовать механизм, основанный на модели графа связей сетевых систем, учитывающей особенности отношений между системами. Grapl демонстрирует попытку применения мер по выявлению инцидентов и по реагированию на них, основываясь на модели графа, а не на модели журнала.
Chida cha Grapl chimatenga zipika zokhudzana ndi chitetezo (zipika za Sysmon kapena zolemba mumtundu wa JSON wokhazikika) ndikuzisintha kukhala ma subgraphs (kutanthauza "chidziwitso" cha node iliyonse). Pambuyo pake, imaphatikiza ma subgraphs kukhala graph wamba (Master Graph), yomwe imayimira zochita zomwe zimachitidwa m'malo owunikidwa. Grapl ndiye amayendetsa ma Analyzers pa graph yomwe yatulukayo pogwiritsa ntchito "ma signature owukira" kuti azindikire zolakwika ndi machitidwe okayikitsa. Pamene wosanthula azindikira gawo lokayikitsa, Grapl imapanga Zomangamanga zomwe zimafuna kufufuza. Kutengana ndi gulu la Python lomwe limatha kukwezedwa, mwachitsanzo, mu Jupyter Notebook yomwe idayikidwa m'malo a AWS. Grapl, kuphatikiza apo, imatha kukulitsa kuchuluka kwa zosonkhanitsira zidziwitso pakufufuza zochitika kudzera pakukulitsa ma graph.
Ngati mukufuna kumvetsetsa bwino Grapl, mutha kuyang'ana kanema wosangalatsa - kujambula kwamasewera kuchokera ku BSides Las Vegas 2019.
4. OSSEC
— это проект, основанный в 2004 году. Этот проект, в целом, можно охарактеризовать как опенсорсную платформу мониторинга безопасности, рассчитанную на анализ хостов и на обнаружение вторжений. В год OSSEC загружают более 500000 раз. Эту платформу используют, в основном, как средство обнаружения вторжений на серверы. Причём, речь идёт как о локальных, так и об облачных системах. OSSEC, кроме того, часто используют как инструмент для исследования журналов мониторинга и анализа файрволов, систем обнаружения вторжений, веб-серверов, а также для изучения журналов аутентификации.
OSSEC imaphatikiza kuthekera kwa Host-Based Intrusion Detection System (HIDS) yokhala ndi Security Incident Management (SIM) ndi Security Information and Event Management (SIEM) system. OSSEC imathanso kuyang'anira kukhulupirika kwa mafayilo munthawi yeniyeni. Izi, mwachitsanzo, zimayang'anira kaundula wa Windows ndikuzindikira ma rootkits. OSSEC imatha kudziwitsa omwe akukhudzidwa nawo za zovuta zomwe zapezeka mu nthawi yeniyeni ndikuthandizira kuyankha mwachangu pakuwopseza komwe kwapezeka. Pulatifomuyi imathandizira Microsoft Windows ndi makina amakono a Unix, kuphatikiza Linux, FreeBSD, OpenBSD ndi Solaris.
Платформа OSSEC состоит из центральной управляющей сущности, менеджера, используемого для получения и мониторинга информации от агентов (маленьких программ, установленных в системах, которые надо мониторить). Менеджер устанавливается на Linux-системе, которая хранит базу данных, используемую для проверки целостности файлов. Она, кроме того, хранит журналы и записи о событиях и о результатах аудита систем.
Ntchito ya OSSEC pano ikuthandizidwa ndi Atomicorp. Kampaniyo imayang'anira mtundu waulere waulere, ndipo, kuwonjezera, imapereka malonda a malonda. podcast momwe woyang'anira polojekiti ya OSSEC amalankhula za mtundu waposachedwa wadongosolo - OSSEC 3.0. Imakambanso za mbiri ya polojekitiyi, komanso momwe imasiyana ndi machitidwe amakono amalonda omwe amagwiritsidwa ntchito pachitetezo cha makompyuta.
5. matsenga
ndi ntchito yotseguka gwero lolunjika pa kuthetsa mavuto aakulu chitetezo kompyuta. Makamaka, imaphatikizapo njira yodziwira kulowerera, njira yopewera kulowerera, ndi chida chowunikira chitetezo cha intaneti.
Этот продукт появился в 2009 году. Его работа основана на правилах. То есть — у того, кто им пользуется, есть возможность описать некие особенности сетевого трафика. Если правило срабатывает, то Suricata генерирует уведомление, блокируя или разрывая подозрительное соединение, что, опять же, зависит от заданных правил. Проект, кроме того, поддерживает работу в многопоточном режиме. Это даёт возможность быстрой обработки большого количества правил в сетях, по которым проходят большие объёмы трафика. Благодаря поддержке многопоточности вполне обычный сервер способен успешно анализировать трафик, идущий на скорости в 10 Гбит/с. При этом администратору не приходится ограничивать набор используемых для анализа трафика правил. Suricata, кроме того, поддерживает хэширование и извлечение файлов.
Suricata ikhoza kukhazikitsidwa kuti igwiritse ntchito pa ma seva wamba kapena pamakina enieni, monga AWS, pogwiritsa ntchito chinthu chomwe changotulutsidwa kumene. .
Pulojekitiyi imathandizira zolemba za Lua, zomwe zitha kugwiritsidwa ntchito popanga malingaliro ovuta komanso atsatanetsatane pakuwunika siginecha zowopseza.
Проектом Suricata занимается Open Information Security Foundation (OISF).
6. Zeek (Bro)
Monga Suricata, (pulojekitiyi poyamba inkatchedwa Bro ndipo idatchedwanso Zeek ku BroCon 2018) ndi njira yodziwira zolowera komanso chida chowunikira chitetezo cha pa intaneti chomwe chimatha kuzindikira zolakwika monga zokayikitsa kapena zoopsa. Zeek imasiyana ndi IDS yachikhalidwe chifukwa, mosiyana ndi machitidwe okhazikitsidwa ndi malamulo omwe amazindikira zosiyana, Zeek imagwiranso metadata yokhudzana ndi zomwe zikuchitika pa intaneti. Izi zimachitika kuti mumvetsetse bwino zomwe zimachitika pa intaneti zachilendo. Izi zimalola, mwachitsanzo, posanthula kuyimba kwa HTTP kapena njira yosinthira ziphaso zachitetezo, kuyang'ana protocol, pamitu ya paketi, pa mayina a mayina.
Ngati tiwona Zeek ngati chida chachitetezo chapaintaneti, ndiye kuti titha kunena kuti imapereka mwayi kwa katswiri kuti afufuze zomwe zidachitika pophunzira zomwe zidachitika kale kapena panthawiyo. Zeek imatembenuzanso kuchuluka kwa magalimoto pamaneti kukhala zochitika zapamwamba ndipo imapereka mwayi wogwira ntchito ndi womasulira script. Womasulira amathandizira chilankhulo cha pulogalamu chomwe chimagwiritsidwa ntchito polumikizana ndi zochitika ndikuzindikira zomwe zochitikazo zikutanthawuza ponena za chitetezo cha intaneti. Chiyankhulo cha pulogalamu ya Zeek chitha kugwiritsidwa ntchito kusintha momwe metadata imatanthauziridwa kuti igwirizane ndi zosowa za bungwe linalake. Zimakuthandizani kuti mupange zovuta zomveka pogwiritsa ntchito AND, OR ndi NOT opareshoni. Izi zimapatsa ogwiritsa ntchito mwayi wosintha momwe malo awo amawunikiridwa. Komabe, ziyenera kudziwidwa kuti, poyerekeza ndi Suricata, Zeek ikhoza kuwoneka ngati chida chovuta kwambiri poyendetsa kuwopseza chitetezo.
Ngati mukufuna zambiri za Zeek, chonde lemberani kanema.
7. Panther
ndi nsanja yamphamvu, yochokera kumtambo yowunikira mosalekeza zachitetezo. Posachedwa idasamutsidwa kugulu lotseguka. Womanga wamkulu ali pa chiyambi cha polojekitiyi — решения для автоматизированного анализа журналов, код которого открыла компания Airbnb. Panther даёт пользователю единую систему для централизованного обнаружения угроз во всех окружениях и для организации реакции на них. Эта система способна расти вместе с размером обслуживаемой инфраструктуры. Обнаружение угроз организовано с помощью прозрачных детерминистических правил, что сделано для того, чтобы снизить процент ложноположительных срабатываний и снизить уровень ненужной нагрузки на специалистов по безопасности.
Zina mwazinthu zazikulu za Panther ndi izi:
- Kuzindikira mwayi wosaloleka kuzinthu posanthula zipika.
- Kuzindikira ziwopsezo, kumagwiritsidwa ntchito pofufuza zipika pazizindikiro zomwe zikuwonetsa zovuta zachitetezo. Kusakaku kumachitika pogwiritsa ntchito magawo ovomerezeka a Panter.
- Kuyang'ana dongosolo kuti likutsatira miyezo ya SOC/PCI/HIPAA pogwiritsa ntchito механизмов Panther.
- Tetezani zida zanu zamtambo pongokonza zolakwika zosintha zomwe zingayambitse mavuto akulu ngati atagwiritsidwa ntchito ndi omwe akuukira.
Panther imayikidwa pamtambo wa AWS wa bungwe pogwiritsa ntchito AWS CloudFormation. Izi zimathandiza wogwiritsa ntchito nthawi zonse kuti azilamulira deta yake.
Zotsatira
Kuwunika chitetezo chadongosolo ndi ntchito yovuta masiku ano. Pothana ndi vutoli, makampani amtundu uliwonse amatha kuthandizidwa ndi zida zotseguka zomwe zimapereka mwayi wambiri ndipo sizimawononga chilichonse kapena zili zaulere.
Wokondedwa owerenga! Kodi mumagwiritsa ntchito zida zotani zowunikira chitetezo?
Source: www.habr.com