A ampla adoção da computação em nuvem ajuda as empresas a expandir seus negócios. Mas a utilização de novas plataformas também significa o surgimento de novas ameaças. Manter uma equipe própria dentro de uma organização responsável por monitorar a segurança dos serviços em nuvem não é uma tarefa fácil. As ferramentas de monitoramento existentes são caras e lentas. Eles são, até certo ponto, difíceis de gerenciar quando se trata de proteger infraestruturas em nuvem em grande escala. Para manter a segurança na nuvem em um alto nível, as empresas precisam de ferramentas poderosas, flexíveis e intuitivas que vão além do que estava disponível anteriormente. É aqui que as tecnologias de código aberto são muito úteis, ajudando a economizar orçamentos de segurança e sendo criadas por especialistas que sabem muito sobre o seu negócio.
O artigo, cuja tradução publicamos hoje, fornece uma visão geral de 7 ferramentas de código aberto para monitorar a segurança de sistemas em nuvem. Essas ferramentas são projetadas para proteger contra hackers e cibercriminosos, detectando anomalias e atividades inseguras.
1. Osqueria
é um sistema para monitoramento e análise de baixo nível de sistemas operacionais que permite aos profissionais de segurança conduzir mineração de dados complexos usando SQL. A estrutura Osquery pode ser executada em Linux, macOS, Windows e FreeBSD. Ele representa o sistema operacional (SO) como um banco de dados relacional de alto desempenho. Isso permite que especialistas em segurança examinem o sistema operacional executando consultas SQL. Por exemplo, usando uma consulta, você pode descobrir processos em execução, módulos de kernel carregados, conexões de rede abertas, extensões de navegador instaladas, eventos de hardware e hashes de arquivos.
A estrutura Osquery foi criada pelo Facebook. Seu código foi aberto em 2014, depois que a empresa percebeu que não era só ela que precisava de ferramentas para monitorar os mecanismos de baixo nível dos sistemas operacionais. Desde então, o Osquery tem sido utilizado por especialistas de empresas como Dactiv, Google, Kolide, Trail of Bits, Uptycs e muitas outras. Foi recentemente que a Linux Foundation e o Facebook vão formar um fundo para apoiar o Osquery.
O daemon de monitoramento de host do Osquery, chamado osqueryd, permite agendar consultas que coletam dados de toda a infraestrutura da sua organização. O daemon coleta resultados de consultas e cria logs que refletem alterações no estado da infraestrutura. Isso pode ajudar os profissionais de segurança a se manterem atualizados sobre o status do sistema e é especialmente útil para identificar anomalias. Os recursos de agregação de log do Osquery podem ser usados para ajudá-lo a encontrar malware conhecido e desconhecido, bem como identificar onde os invasores entraram no seu sistema e descobrir quais programas eles instalaram. Leia mais sobre detecção de anomalias usando Osquery.
2.GoAudit
Sistema consiste em dois componentes principais. O primeiro é algum código em nível de kernel projetado para interceptar e monitorar chamadas do sistema. O segundo componente é um daemon de espaço do usuário chamado . É responsável por gravar os resultados da auditoria no disco. , um sistema criado pela empresa e lançado em 2016, destinado a substituir o auditd. Ele melhorou os recursos de registro, convertendo mensagens de eventos multilinhas geradas pelo sistema de auditoria Linux em blobs JSON únicos para análise mais fácil. Com GoAudit, você pode acessar diretamente mecanismos em nível de kernel pela rede. Além disso, você pode ativar a filtragem mínima de eventos no próprio host (ou desativar completamente a filtragem). Ao mesmo tempo, GoAudit é um projeto pensado não apenas para garantir segurança. Esta ferramenta foi projetada como uma ferramenta rica em recursos para profissionais de suporte ou desenvolvimento de sistemas. Ajuda a combater problemas em infraestruturas de grande escala.
O sistema GoAudit é escrito em Golang. É uma linguagem de tipo seguro e de alto desempenho. Antes de instalar o GoAudit, verifique se sua versão do Golang é superior a 1.7.
3. Gancho
Projeto (Graph Analytics Platform) foi transferido para a categoria de código aberto em março do ano passado. É uma plataforma relativamente nova para detectar problemas de segurança, realizar análises forenses de computadores e gerar relatórios de incidentes. Os invasores geralmente trabalham usando algo como um modelo gráfico, obtendo controle de um único sistema e explorando outros sistemas de rede a partir desse sistema. Portanto, é bastante natural que os defensores do sistema também utilizem um mecanismo baseado em um modelo de grafo de conexões de sistemas de rede, levando em consideração as peculiaridades das relações entre os sistemas. Grapl demonstra uma tentativa de implementar medidas de detecção e resposta a incidentes com base em um modelo gráfico em vez de um modelo de log.
A ferramenta Grapl pega logs relacionados à segurança (logs Sysmon ou logs em formato JSON regular) e os converte em subgráficos (definindo uma “identidade” para cada nó). Depois disso, combina os subgráficos em um gráfico comum (Master Graph), que representa as ações realizadas nos ambientes analisados. Grapl então executa analisadores no gráfico resultante usando “assinaturas de invasor” para identificar anomalias e padrões suspeitos. Quando o analisador identifica um subgráfico suspeito, Grapl gera uma construção de Engajamento destinada à investigação. Engagement é uma classe Python que pode ser carregada, por exemplo, em um Jupyter Notebook implantado no ambiente AWS. Além disso, o Grapl pode aumentar a escala de coleta de informações para investigação de incidentes por meio da expansão do gráfico.
Se você quiser entender melhor o Grapl, você pode dar uma olhada vídeo interessante - gravação de uma performance do BSides Las Vegas 2019.
4. OSSEC
é um projeto fundado em 2004. Este projeto, em geral, pode ser caracterizado como uma plataforma de monitoramento de segurança de código aberto projetada para análise de host e detecção de intrusões. O OSSEC é baixado mais de 500000 vezes por ano. Esta plataforma é utilizada principalmente como meio de detecção de invasões em servidores. Além disso, estamos falando de sistemas locais e em nuvem. O OSSEC também é frequentemente usado como uma ferramenta para examinar logs de monitoramento e análise de firewalls, sistemas de detecção de intrusão, servidores web e também para estudar logs de autenticação.
O OSSEC combina os recursos de um Sistema de Detecção de Intrusão Baseado em Host (HIDS) com um sistema de Gerenciamento de Incidentes de Segurança (SIM) e de Gerenciamento de Eventos e Informações de Segurança (SIEM). O OSSEC também pode monitorar a integridade dos arquivos em tempo real. Isso, por exemplo, monitora o registro do Windows e detecta rootkits. O OSSEC é capaz de notificar as partes interessadas sobre problemas detectados em tempo real e ajuda a responder rapidamente às ameaças detectadas. Esta plataforma suporta Microsoft Windows e a maioria dos sistemas modernos do tipo Unix, incluindo Linux, FreeBSD, OpenBSD e Solaris.
A plataforma OSSEC consiste em uma entidade central de controle, um gestor, utilizado para receber e monitorar informações dos agentes (pequenos programas instalados nos sistemas que precisam ser monitorados). O gerenciador é instalado em um sistema Linux, que armazena um banco de dados utilizado para verificar a integridade dos arquivos. Ele também armazena logs e registros de eventos e resultados de auditoria do sistema.
O projeto OSSEC é atualmente apoiado pela Atomicorp. A empresa supervisiona uma versão gratuita de código aberto e, além disso, oferece versão comercial do produto. podcast em que o gerente do projeto OSSEC fala sobre a última versão do sistema - OSSEC 3.0. Também fala sobre a história do projeto e como ele difere dos modernos sistemas comerciais utilizados na área de segurança informática.
5. Suricato
é um projeto open source focado em resolver os principais problemas de segurança informática. Em particular, inclui um sistema de detecção de intrusões, um sistema de prevenção de intrusões e uma ferramenta de monitorização de segurança de rede.
Este produto apareceu em 2009. Seu trabalho é baseado em regras. Ou seja, quem o utiliza tem a oportunidade de descrever determinadas características do tráfego de rede. Caso a regra seja acionada, o Suricata gera uma notificação, bloqueando ou encerrando a conexão suspeita, o que, novamente, depende das regras especificadas. O projeto também suporta operação multithread. Isto torna possível processar rapidamente um grande número de regras em redes que transportam grandes volumes de tráfego. Graças ao suporte multi-threading, um servidor completamente comum é capaz de analisar com sucesso o tráfego que viaja a uma velocidade de 10 Gbit/s. Neste caso, o administrador não precisa limitar o conjunto de regras utilizadas para análise de tráfego. Suricata também suporta hashing e recuperação de arquivos.
O Suricata pode ser configurado para rodar em servidores regulares ou em máquinas virtuais, como AWS, usando um recurso introduzido recentemente no produto .
O projeto suporta scripts Lua, que podem ser usados para criar lógica complexa e detalhada para analisar assinaturas de ameaças.
O projeto Suricata é gerenciado pela Open Information Security Foundation (OISF).
6. Zeek (mano)
Como Suricata, (este projeto era anteriormente chamado de Bro e foi renomeado como Zeek na BroCon 2018) também é um sistema de detecção de invasões e uma ferramenta de monitoramento de segurança de rede que pode detectar anomalias, como atividades suspeitas ou perigosas. O Zeek difere do IDS tradicional porque, diferentemente dos sistemas baseados em regras que detectam exceções, o Zeek também captura metadados associados ao que está acontecendo na rede. Isso é feito para entender melhor o contexto do comportamento incomum da rede. Isto permite, por exemplo, através da análise de uma chamada HTTP ou do procedimento de troca de certificados de segurança, observar o protocolo, os cabeçalhos dos pacotes, os nomes de domínio.
Se considerarmos o Zeek como uma ferramenta de segurança de rede, podemos dizer que ele dá ao especialista a oportunidade de investigar um incidente, aprendendo sobre o que aconteceu antes ou durante o incidente. Zeek também converte dados de tráfego de rede em eventos de alto nível e oferece a capacidade de trabalhar com um interpretador de script. O interpretador suporta uma linguagem de programação usada para interagir com eventos e descobrir o que exatamente esses eventos significam em termos de segurança de rede. A linguagem de programação Zeek pode ser usada para personalizar a forma como os metadados são interpretados para atender às necessidades específicas de uma organização. Ele permite construir condições lógicas complexas usando os operadores AND, OR e NOT. Isso dá aos usuários a capacidade de personalizar a forma como seus ambientes são analisados. No entanto, deve-se notar que, em comparação com o Suricata, o Zeek pode parecer uma ferramenta bastante complexa ao realizar o reconhecimento de ameaças à segurança.
Se você estiver interessado em mais detalhes sobre a Zeek, entre em contato vídeo.
7. Pantera
é uma plataforma poderosa e nativa da nuvem para monitoramento contínuo de segurança. Recentemente foi transferido para a categoria de código aberto. O arquiteto principal está na origem do projeto — soluções para análise automatizada de logs, cujo código foi aberto pelo Airbnb. O Panther oferece ao usuário um sistema único para detectar ameaças centralmente em todos os ambientes e organizar uma resposta a elas. Este sistema é capaz de crescer junto com o tamanho da infraestrutura atendida. A detecção de ameaças é baseada em regras transparentes e determinísticas para reduzir falsos positivos e carga de trabalho desnecessária para profissionais de segurança.
Entre as principais características do Panther estão as seguintes:
- Detecção de acesso não autorizado a recursos através da análise de logs.
- Detecção de ameaças, implementada por meio da busca nos logs de indicadores que indiquem problemas de segurança. A pesquisa é realizada utilizando campos de dados padronizados do Panter.
- Verificação do sistema quanto à conformidade com os padrões SOC/PCI/HIPAA usando Mecanismos de pantera.
- Proteja seus recursos de nuvem corrigindo automaticamente erros de configuração que poderiam causar sérios problemas se explorados por invasores.
O Panther é implantado na nuvem AWS de uma organização usando o AWS CloudFormation. Isso permite que o usuário esteja sempre no controle de seus dados.
Resultados de
Monitorar a segurança do sistema é uma tarefa crítica atualmente. Para resolver esse problema, empresas de qualquer porte podem ser auxiliadas por ferramentas de código aberto que oferecem muitas oportunidades e custam quase nada ou são gratuitas.
Caros leitores! Quais ferramentas de monitoramento de segurança você usa?
Fonte: habr.com