Powszechne przyjęcie chmury obliczeniowej pomaga firmom skalować działalność. Jednak wykorzystanie nowych platform oznacza także pojawienie się nowych zagrożeń. Utrzymanie własnego zespołu w organizacji odpowiedzialnej za monitorowanie bezpieczeństwa usług chmurowych nie jest łatwym zadaniem. Istniejące narzędzia monitorowania są drogie i powolne. W pewnym stopniu trudno nimi zarządzać, jeśli chodzi o zabezpieczanie wielkoskalowej infrastruktury chmurowej. Aby utrzymać bezpieczeństwo w chmurze na wysokim poziomie, firmy potrzebują wydajnych, elastycznych i intuicyjnych narzędzi, które wykraczają poza to, co było wcześniej dostępne. Tutaj z pomocą przychodzą technologie open source, pomagające oszczędzać budżety na bezpieczeństwo i tworzone przez specjalistów, którzy dużo wiedzą o swoim biznesie.
Artykuł, którego tłumaczenie dzisiaj publikujemy, zawiera przegląd 7 narzędzi open source do monitorowania bezpieczeństwa systemów chmurowych. Narzędzia te mają na celu ochronę przed hakerami i cyberprzestępcami poprzez wykrywanie anomalii i niebezpiecznych działań.
1. Oskierstwo
to system do niskopoziomowego monitorowania i analizy systemów operacyjnych, który umożliwia specjalistom ds. bezpieczeństwa prowadzenie złożonej eksploracji danych przy użyciu języka SQL. Framework Osquery może działać na systemach Linux, macOS, Windows i FreeBSD. Reprezentuje system operacyjny (OS) jako relacyjną bazę danych o wysokiej wydajności. Dzięki temu specjaliści ds. bezpieczeństwa mogą sprawdzić system operacyjny, uruchamiając zapytania SQL. Na przykład za pomocą zapytania możesz dowiedzieć się o uruchomionych procesach, załadowanych modułach jądra, otwartych połączeniach sieciowych, zainstalowanych rozszerzeniach przeglądarki, zdarzeniach sprzętowych i skrótach plików.
Framework Osquery został stworzony przez Facebooka. Jego kod został otwarty w 2014 roku, gdy firma zdała sobie sprawę, że nie tylko ona sama potrzebuje narzędzi do monitorowania mechanizmów niskiego poziomu systemów operacyjnych. Od tego czasu z Osquery korzystają specjaliści z takich firm jak Dactiv, Google, Kolide, Trail of Bits, Uptycs i wielu innych. To było niedawno że Linux Foundation i Facebook utworzą fundusz wspierający Oquery.
Demon monitorowania hosta firmy Osquery, zwany osqueryd, umożliwia planowanie zapytań zbierających dane z całej infrastruktury organizacji. Demon zbiera wyniki zapytań i tworzy logi odzwierciedlające zmiany stanu infrastruktury. Może to pomóc specjalistom ds. bezpieczeństwa na bieżąco śledzić stan systemu i jest szczególnie przydatne przy identyfikowaniu anomalii. Możliwości agregacji dzienników oprogramowania Osquery mogą pomóc Ci znaleźć znane i nieznane złośliwe oprogramowanie, a także zidentyfikować, gdzie osoby atakujące weszły do Twojego systemu i dowiedzieć się, jakie programy zainstalowali. Przeczytaj więcej o wykrywaniu anomalii za pomocą Osquery.
2. Przejdź do audytu
System składa się z dwóch głównych elementów. Pierwszy to kod na poziomie jądra przeznaczony do przechwytywania i monitorowania wywołań systemowych. Drugim komponentem jest demon przestrzeni użytkownika o nazwie . Odpowiada za zapisanie wyników audytu na dysku. , system stworzony przez firmę i wydany w 2016 roku, mający zastąpić audytd. Udoskonalono możliwości rejestrowania poprzez konwersję wielowierszowych komunikatów o zdarzeniach generowanych przez system audytu systemu Linux na pojedyncze obiekty blob JSON w celu łatwiejszej analizy. Dzięki GoAudit możesz uzyskać bezpośredni dostęp do mechanizmów na poziomie jądra przez sieć. Dodatkowo możesz włączyć minimalne filtrowanie zdarzeń na samym hoście (lub całkowicie wyłączyć filtrowanie). Jednocześnie GoAudit to projekt, który ma nie tylko zapewnić bezpieczeństwo. To narzędzie zostało zaprojektowane jako bogate w funkcje narzędzie dla specjalistów zajmujących się wsparciem i rozwojem systemów. Pomaga zwalczać problemy występujące w infrastrukturach wielkoskalowych.
System GoAudit napisany jest w języku Golang. Jest to język bezpieczny dla typów i charakteryzujący się wysoką wydajnością. Przed instalacją GoAudit sprawdź, czy Twoja wersja Golang jest wyższa niż 1.7.
3. Chwytak
Projekt (Graph Analytics Platform) została przeniesiona do kategorii open source w marcu ubiegłego roku. Jest to stosunkowo nowa platforma służąca do wykrywania problemów związanych z bezpieczeństwem, przeprowadzania kryminalistyki komputerowej i generowania raportów o incydentach. Osoby atakujące często wykorzystują coś w rodzaju modelu graficznego, uzyskując kontrolę nad pojedynczym systemem i eksplorując inne systemy sieciowe, zaczynając od tego systemu. Dlatego jest całkiem naturalne, że obrońcy systemów będą również korzystać z mechanizmu opartego na modelu wykresu połączeń systemów sieciowych, biorąc pod uwagę specyfikę relacji między systemami. Grapl demonstruje próbę wdrożenia środków wykrywania i reagowania na incydenty w oparciu o model graficzny, a nie model dziennika.
Narzędzie Grapl pobiera logi związane z bezpieczeństwem (logi Sysmon lub logi w zwykłym formacie JSON) i konwertuje je na podgrafy (definiujące „tożsamość” dla każdego węzła). Następnie łączy podgrafy we wspólny wykres (Wykres Główny), który przedstawia działania wykonywane w analizowanych środowiskach. Następnie Grapl uruchamia Analyzery na powstałym wykresie, korzystając z „sygnatur atakujących”, aby zidentyfikować anomalie i podejrzane wzorce. Gdy analizator zidentyfikuje podejrzany podgraf, Grapl generuje konstrukcję Engagement przeznaczoną do zbadania. Engagement to klasa Pythona, którą można załadować np. do Jupyter Notebook wdrożonego w środowisku AWS. Grapl może ponadto zwiększyć skalę gromadzenia informacji na potrzeby badania incydentów poprzez rozwój wykresów.
Jeśli chcesz lepiej zrozumieć Grapl, możesz rzucić okiem ciekawe wideo - nagranie występu z BSides Las Vegas 2019.
4. OSSEC
to projekt powstały w 2004 roku. Projekt ten ogólnie można scharakteryzować jako platformę monitorowania bezpieczeństwa typu open source, zaprojektowaną do analizy hostów i wykrywania włamań. OSSEC jest pobierany ponad 500000 XNUMX razy rocznie. Platforma ta wykorzystywana jest głównie do wykrywania włamań na serwery. Co więcej, mówimy zarówno o systemach lokalnych, jak i chmurowych. OSSEC jest również często używany jako narzędzie do badania dzienników monitorowania i analizy zapór sieciowych, systemów wykrywania włamań, serwerów internetowych, a także do badania dzienników uwierzytelniania.
OSSEC łączy możliwości systemu wykrywania włamań opartego na hoście (HIDS) z systemem zarządzania incydentami bezpieczeństwa (SIM) oraz systemem zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM). OSSEC może także monitorować integralność plików w czasie rzeczywistym. To na przykład monitoruje rejestr systemu Windows i wykrywa rootkity. OSSEC jest w stanie w czasie rzeczywistym powiadamiać interesariuszy o wykrytych problemach i pomaga szybko reagować na wykryte zagrożenia. Platforma ta obsługuje system Microsoft Windows i większość nowoczesnych systemów typu Unix, w tym Linux, FreeBSD, OpenBSD i Solaris.
Platforma OSSEC składa się z centralnej jednostki kontrolnej, menedżera, służącej do otrzymywania i monitorowania informacji od agentów (małych programów instalowanych w systemach, które wymagają monitorowania). Menedżer instalowany jest na systemie Linux, w którym przechowywana jest baza danych służąca do sprawdzania integralności plików. Przechowuje także logi i zapisy zdarzeń oraz wyniki audytów systemu.
Projekt OSSEC jest obecnie wspierany przez Atomicorp. Firma nadzoruje bezpłatną wersję open source, a ponadto oferuje komercyjna wersja produktu. podcast, w którym kierownik projektu OSSEC opowiada o najnowszej wersji systemu – OSSEC 3.0. Opowiada także o historii projektu i tym, czym różni się on od współczesnych komercyjnych systemów stosowanych w dziedzinie bezpieczeństwa komputerowego.
5. surykatka
to projekt open source skupiający się na rozwiązywaniu głównych problemów bezpieczeństwa komputerowego. W szczególności obejmuje system wykrywania włamań, system zapobiegania włamaniom i narzędzie do monitorowania bezpieczeństwa sieci.
Produkt ten pojawił się w 2009 roku. Jego praca opiera się na zasadach. Oznacza to, że ten, kto go używa, ma możliwość opisania pewnych cech ruchu sieciowego. Jeśli reguła zostanie uruchomiona, Suricata generuje powiadomienie, blokując lub kończąc podejrzane połączenie, co również zależy od określonych reguł. Projekt wspiera także działanie wielowątkowe. Umożliwia to szybkie przetwarzanie dużej liczby reguł w sieciach o dużym natężeniu ruchu. Dzięki obsłudze wielowątkowości zupełnie zwyczajny serwer jest w stanie z powodzeniem analizować ruch poruszający się z prędkością 10 Gbit/s. W takim przypadku administrator nie musi ograniczać zestawu reguł wykorzystywanych do analizy ruchu. Suricata obsługuje także hashowanie i pobieranie plików.
Suricatę można skonfigurować do działania na zwykłych serwerach lub na maszynach wirtualnych, takich jak AWS, dzięki niedawno wprowadzonej funkcji w produkcie .
Projekt obsługuje skrypty Lua, które można wykorzystać do tworzenia złożonej i szczegółowej logiki do analizy sygnatur zagrożeń.
Projektem Suricata zarządza Fundacja Otwartego Bezpieczeństwa Informacji (OISF).
6. Zeek (brat)
Podobnie jak Suricata, (projekt ten poprzednio nosił nazwę Bro, a na BroCon 2018 zmieniono nazwę na Zeek) to także system wykrywania włamań i narzędzie do monitorowania bezpieczeństwa sieci, które może wykryć anomalie, takie jak podejrzana lub niebezpieczna aktywność. Zeek różni się od tradycyjnego IDS tym, że w przeciwieństwie do systemów opartych na regułach, które wykrywają wyjątki, Zeek przechwytuje także metadane związane z tym, co dzieje się w sieci. Ma to na celu lepsze zrozumienie kontekstu nietypowego zachowania sieci. Pozwala to na przykład analizując wywołanie HTTP lub procedurę wymiany certyfikatów bezpieczeństwa, przyjrzeć się protokołowi, nagłówkom pakietów, nazwom domen.
Jeśli uznamy Zeeka za narzędzie bezpieczeństwa sieci, to możemy powiedzieć, że daje on specjalistom możliwość zbadania incydentu poprzez poznanie tego, co wydarzyło się przed incydentem lub w jego trakcie. Zeek konwertuje również dane o ruchu sieciowym na zdarzenia wysokiego poziomu i zapewnia możliwość pracy z interpreterem skryptów. Interpreter obsługuje język programowania używany do interakcji ze zdarzeniami i do ustalenia, co dokładnie te zdarzenia oznaczają z punktu widzenia bezpieczeństwa sieci. Języka programowania Zeek można używać do dostosowywania sposobu interpretacji metadanych do potrzeb konkretnej organizacji. Umożliwia budowanie złożonych warunków logicznych za pomocą operatorów AND, OR i NOT. Daje to użytkownikom możliwość dostosowania sposobu analizy ich środowisk. Należy jednak zaznaczyć, że w porównaniu z Suricatą Zeek może wydawać się dość skomplikowanym narzędziem podczas prowadzenia rozpoznania zagrożeń bezpieczeństwa.
Jeżeli są Państwo zainteresowani więcej szczegółów na temat Zeeka prosimy o kontakt wideo.
7. Pantera
to potężna, natywnie działająca w chmurze platforma do ciągłego monitorowania bezpieczeństwa. Niedawno został przeniesiony do kategorii open source. U początków projektu stoi główny architekt — rozwiązania do automatycznej analizy logów, których kod został otwarty przez Airbnb. Panther oddaje do dyspozycji użytkownika jeden system centralnego wykrywania zagrożeń we wszystkich środowiskach i organizowania reakcji na nie. System ten może się rozwijać wraz z wielkością obsługiwanej infrastruktury. Wykrywanie zagrożeń opiera się na przejrzystych, deterministycznych regułach, które pozwalają ograniczyć liczbę fałszywych alarmów i niepotrzebne obciążenie pracą specjalistów ds. bezpieczeństwa.
Do głównych cech Panther należą:
- Wykrywanie nieautoryzowanego dostępu do zasobów poprzez analizę logów.
- Wykrywanie zagrożeń, realizowane poprzez przeszukiwanie logów pod kątem wskaźników wskazujących problemy bezpieczeństwa. Wyszukiwanie odbywa się przy użyciu standardowych pól danych Pantera.
- Sprawdzenie systemu pod kątem zgodności ze standardami SOC/PCI/HIPAA przy użyciu Mechanizmy pantery.
- Chroń swoje zasoby w chmurze, automatycznie korygując błędy konfiguracyjne, które w przypadku wykorzystania przez atakujących mogą spowodować poważne problemy.
Panther jest wdrażany w chmurze AWS organizacji przy użyciu AWS CloudFormation. Dzięki temu użytkownik ma zawsze kontrolę nad swoimi danymi.
Wyniki
Monitorowanie bezpieczeństwa systemu jest obecnie zadaniem krytycznym. W rozwiązaniu tego problemu firmom dowolnej wielkości mogą pomóc narzędzia open source, które dają wiele możliwości, a prawie nic nie kosztują lub są bezpłatne.
Drodzy Czytelnicy! Z jakich narzędzi do monitorowania bezpieczeństwa korzystasz?
Źródło: www.habr.com