Široka uporaba računalništva v oblaku pomaga podjetjem povečati obseg poslovanja. Toda uporaba novih platform pomeni tudi nastanek novih groženj. Vzdrževanje lastne ekipe v organizaciji, odgovorni za spremljanje varnosti storitev v oblaku, ni lahka naloga. Obstoječa orodja za spremljanje so draga in počasna. Do neke mere jih je težko upravljati, ko gre za zavarovanje obsežne infrastrukture v oblaku. Za ohranitev varnosti v oblaku na visoki ravni potrebujejo podjetja zmogljiva, prilagodljiva in intuitivna orodja, ki presegajo tisto, kar je bilo prej na voljo. Tu pridejo zelo prav odprtokodne tehnologije, ki pomagajo pri varčevanju z varnostnimi proračuni in jih ustvarjajo strokovnjaki, ki vedo veliko o svojem poslu.
Članek, katerega prevod objavljamo danes, ponuja pregled 7 odprtokodnih orodij za spremljanje varnosti oblačnih sistemov. Ta orodja so zasnovana za zaščito pred hekerji in kibernetskimi kriminalci z odkrivanjem anomalij in nevarnih dejavnosti.
1. Osquery
je sistem za nizkonivojski nadzor in analizo operacijskih sistemov, ki varnostnim strokovnjakom omogoča izvajanje kompleksnega podatkovnega rudarjenja z uporabo SQL. Ogrodje Osquery lahko deluje v sistemih Linux, macOS, Windows in FreeBSD. Predstavlja operacijski sistem (OS) kot visoko zmogljivo relacijsko bazo podatkov. To omogoča strokovnjakom za varnost, da pregledajo OS z izvajanjem poizvedb SQL. Na primer, z uporabo poizvedbe lahko izveste o tekočih procesih, naloženih modulih jedra, odprtih omrežnih povezavah, nameščenih razširitvah brskalnika, dogodkih strojne opreme in zgoščenih datotekah.
Ogrodje Osquery je ustvaril Facebook. Njegova koda je bila odprtokodna leta 2014, potem ko je podjetje ugotovilo, da ne potrebuje samo sebe orodij za spremljanje mehanizmov nizke ravni operacijskih sistemov. Od takrat Osquery uporabljajo strokovnjaki iz podjetij, kot so Dactiv, Google, Kolide, Trail of Bits, Uptycs in mnoga druga. Bilo je pred kratkim da bosta Linux Foundation in Facebook ustanovila sklad za podporo Osqueryju.
Osqueryjev nadzorni demon gostitelja, imenovan osqueryd, vam omogoča načrtovanje poizvedb, ki zbirajo podatke iz celotne infrastrukture vaše organizacije. Demon zbira rezultate poizvedb in ustvarja dnevnike, ki odražajo spremembe v stanju infrastrukture. To lahko varnostnim strokovnjakom pomaga, da ostanejo na tekočem s stanjem sistema, in je še posebej uporabno za prepoznavanje anomalij. Zmožnosti združevanja dnevnikov Osquery lahko uporabite za pomoč pri iskanju znane in neznane zlonamerne programske opreme, pa tudi za odkrivanje, kje so napadalci vstopili v vaš sistem, in ugotovite, katere programe so namestili. Preberite več o odkrivanju anomalij z uporabo Osqueryja.
2.GoAudit
Sistem je sestavljen iz dveh glavnih komponent. Prvi je koda na ravni jedra, namenjena prestrezanju in spremljanju sistemskih klicev. Druga komponenta je demon uporabniškega prostora, imenovan . Odgovoren je za zapisovanje rezultatov revizije na disk. , sistem, ki ga je ustvarilo podjetje in izdan leta 2016, namenjen zamenjavi auditd. Ima izboljšane zmožnosti beleženja s pretvorbo večvrstičnih sporočil o dogodkih, ki jih ustvari revizijski sistem Linux, v posamezne blob-ove JSON za lažjo analizo. Z GoAudit lahko prek omrežja neposredno dostopate do mehanizmov na ravni jedra. Poleg tega lahko omogočite minimalno filtriranje dogodkov na samem gostitelju (ali popolnoma onemogočite filtriranje). Hkrati je GoAudit projekt, ki ni namenjen samo zagotavljanju varnosti. To orodje je zasnovano kot orodje z veliko funkcijami za strokovnjake za sistemsko podporo ali razvoj. Pomaga pri odpravljanju težav v velikih infrastrukturah.
Sistem GoAudit je napisan v jeziku Golang. Je tipsko varen in visoko zmogljiv jezik. Preden namestite GoAudit, preverite, ali je vaša različica Golanga višja od 1.7.
3. Grapl
Projekt (Graph Analytics Platform) je bil marca lani premeščen v odprtokodno kategorijo. Je relativno nova platforma za odkrivanje varnostnih težav, izvajanje računalniške forenzike in ustvarjanje poročil o incidentih. Napadalci pogosto uporabljajo nekaj podobnega grafičnemu modelu, pridobivajo nadzor nad enim samim sistemom in raziskujejo druge omrežne sisteme, začenši s tem sistemom. Zato je povsem naravno, da bodo sistemski zaščitniki uporabljali tudi mehanizem, ki temelji na modelu grafa povezav omrežnih sistemov, pri čemer bo upošteval posebnosti odnosov med sistemi. Grapl prikazuje poskus izvajanja ukrepov za zaznavanje incidentov in odziv nanje na podlagi modela grafa namesto modela dnevnika.
Orodje Grapl vzame dnevnike, povezane z varnostjo (dnevnike Sysmon ali dnevnike v običajnem formatu JSON) in jih pretvori v podgrafe (določanje »identitete« za vsako vozlišče). Nato združi podgrafe v skupni graf (Master Graph), ki predstavlja dejanja, izvedena v analiziranih okoljih. Grapl nato zažene analizatorje na dobljenem grafu z uporabo »podpisov napadalcev«, da prepozna anomalije in sumljive vzorce. Ko analizator identificira sumljiv podgraf, Grapl ustvari konstrukt Engagement, namenjen preiskavi. Engagement je razred Python, ki ga je mogoče naložiti na primer v Jupyter Notebook, nameščen v okolju AWS. Grapl lahko poleg tega poveča obseg zbiranja informacij za preiskavo incidentov z razširitvijo grafa.
Če želite bolje razumeti Grapl, si lahko ogledate zanimiv video - posnetek nastopa iz BSides Las Vegas 2019.
4. OSSEC
je projekt, ustanovljen leta 2004. Ta projekt na splošno lahko označimo kot odprtokodno varnostno nadzorno platformo, zasnovano za analizo gostiteljev in zaznavanje vdorov. OSSEC se prenese več kot 500000-krat na leto. Ta platforma se uporablja predvsem kot sredstvo za odkrivanje vdorov v strežnike. Poleg tega govorimo o lokalnih in oblačnih sistemih. OSSEC se pogosto uporablja tudi kot orodje za pregledovanje dnevnikov spremljanja in analize požarnih zidov, sistemov za zaznavanje vdorov, spletnih strežnikov in tudi za preučevanje dnevnikov preverjanja pristnosti.
OSSEC združuje zmogljivosti gostiteljskega sistema za zaznavanje vdorov (HIDS) s sistemom za upravljanje varnostnih incidentov (SIM) in sistemom za upravljanje varnostnih informacij in dogodkov (SIEM). OSSEC lahko tudi spremlja celovitost datoteke v realnem času. To na primer nadzira register Windows in zazna rootkite. OSSEC lahko v realnem času obvesti deležnike o zaznanih težavah in pomaga pri hitrem odzivu na zaznane grožnje. Ta platforma podpira Microsoft Windows in večino sodobnih sistemov, podobnih Unixu, vključno z Linuxom, FreeBSD, OpenBSD in Solarisom.
Platforma OSSEC je sestavljena iz centralne nadzorne enote, upravitelja, ki se uporablja za sprejemanje in spremljanje informacij od agentov (majhnih programov, nameščenih v sistemih, ki jih je treba nadzorovati). Upravljalnik je nameščen v sistemu Linux, ki hrani bazo podatkov, ki se uporablja za preverjanje celovitosti datotek. Shranjuje tudi dnevnike in zapise dogodkov ter rezultate revizije sistema.
Projekt OSSEC trenutno podpira Atomicorp. Podjetje nadzira brezplačno odprtokodno različico in poleg tega ponuja komercialna različica izdelka. podcast, v katerem vodja projekta OSSEC govori o najnovejši različici sistema - OSSEC 3.0. Govori tudi o zgodovini projekta in o tem, kako se razlikuje od sodobnih komercialnih sistemov, ki se uporabljajo na področju računalniške varnosti.
5. Surikata
je odprtokodni projekt, ki se osredotoča na reševanje glavnih problemov računalniške varnosti. Zlasti vključuje sistem za zaznavanje vdorov, sistem za preprečevanje vdorov in orodje za spremljanje varnosti omrežja.
Ta izdelek se je pojavil leta 2009. Njegovo delo temelji na pravilih. To pomeni, da ima tisti, ki ga uporablja, možnost opisati določene značilnosti omrežnega prometa. Če se pravilo sproži, Suricata ustvari obvestilo, blokira ali prekine sumljivo povezavo, kar je spet odvisno od navedenih pravil. Projekt podpira tudi večnitno delovanje. To omogoča hitro obdelavo velikega števila pravil v omrežjih, ki prenašajo velike količine prometa. Zahvaljujoč podpori za večnitnost lahko povsem običajen strežnik uspešno analizira promet, ki potuje s hitrostjo 10 Gbit/s. V tem primeru skrbniku ni treba omejiti nabora pravil, ki se uporabljajo za analizo prometa. Suricata podpira tudi zgoščevanje in iskanje datotek.
Suricata je mogoče konfigurirati za delovanje na običajnih strežnikih ali na virtualnih strojih, kot je AWS, z uporabo nedavno predstavljene funkcije v izdelku .
Projekt podpira skripte Lua, ki jih je mogoče uporabiti za ustvarjanje kompleksne in podrobne logike za analizo podpisov groženj.
Projekt Suricata upravlja Open Information Security Foundation (OISF).
6. Zeek (brat)
Tako kot Suricata, (ta projekt se je prej imenoval Bro in je bil na BroCon 2018 preimenovan v Zeek) je tudi sistem za zaznavanje vdorov in orodje za spremljanje varnosti omrežja, ki lahko zazna anomalije, kot so sumljive ali nevarne dejavnosti. Zeek se od tradicionalnih IDS razlikuje po tem, da za razliko od sistemov, ki temeljijo na pravilih in zaznavajo izjeme, Zeek zajema tudi metapodatke, povezane z dogajanjem v omrežju. To se naredi, da bi bolje razumeli kontekst nenavadnega vedenja omrežja. To omogoča, na primer, z analizo klica HTTP ali postopka za izmenjavo varnostnih certifikatov, da pogledamo protokol, glave paketov, imena domen.
Če obravnavamo Zeek kot orodje za varnost omrežja, potem lahko rečemo, da daje strokovnjaku možnost, da razišče incident tako, da izve, kaj se je zgodilo pred ali med incidentom. Zeek prav tako pretvori podatke o omrežnem prometu v dogodke na visoki ravni in nudi možnost dela s tolmačem skriptov. Tolmač podpira programski jezik, ki se uporablja za interakcijo z dogodki in za ugotavljanje, kaj točno ti dogodki pomenijo v smislu varnosti omrežja. Programski jezik Zeek je mogoče uporabiti za prilagoditev interpretacije metapodatkov, da ustrezajo potrebam določene organizacije. Omogoča vam sestavljanje kompleksnih logičnih pogojev z uporabo operatorjev IN, ALI in NE. To daje uporabnikom možnost, da prilagodijo, kako se analizirajo njihova okolja. Vendar je treba opozoriti, da se lahko Zeek v primerjavi s Suricato zdi precej zapleteno orodje pri izvajanju izvidovanja varnostnih groženj.
Če vas zanima več podrobnosti o Zeeku, kontaktirajte video.
7. Panter
je zmogljiva platforma, ki izvira iz oblaka, za stalno spremljanje varnosti. Pred kratkim je bil prenesen v kategorijo odprte kode. Glavni arhitekt je pri nastanku projekta — rešitve za avtomatsko analizo dnevnikov, katerih kodo je odprl Airbnb. Panther daje uporabniku enoten sistem za centralno zaznavanje groženj v vseh okoljih in organizacijo odziva nanje. Ta sistem lahko raste skupaj z velikostjo oskrbovane infrastrukture. Zaznavanje groženj temelji na preglednih, determinističnih pravilih za zmanjšanje lažnih pozitivnih rezultatov in nepotrebne delovne obremenitve varnostnih strokovnjakov.
Med glavnimi značilnostmi Pantherja so naslednje:
- Odkrivanje nepooblaščenega dostopa do virov z analizo dnevnikov.
- Zaznavanje groženj, izvedeno z iskanjem dnevnikov za indikatorje, ki kažejo na varnostne težave. Iskanje se izvaja s pomočjo standardiziranih podatkovnih polj Panter.
- Preverjanje skladnosti sistema s standardi SOC/PCI/HIPAA z uporabo Panther mehanizmi.
- Zaščitite svoje vire v oblaku s samodejnim popravljanjem konfiguracijskih napak, ki bi lahko povzročile resne težave, če bi jih napadalci izkoristili.
Panther je nameščen v oblaku AWS organizacije z uporabo AWS CloudFormation. To omogoča uporabniku, da ima vedno nadzor nad svojimi podatki.
Rezultati
Nadzor varnosti sistema je dandanes kritična naloga. Pri reševanju tega problema lahko podjetjem vseh velikosti pomagajo odprtokodna orodja, ki ponujajo veliko priložnosti in skoraj nič ne stanejo oziroma so brezplačna.
Drage bralke in bralci! Katera orodja za nadzor varnosti uporabljate?
Vir: www.habr.com