Miratimi i gjerë i kompjuterit cloud i ndihmon kompanitë të zgjerojnë biznesin e tyre. Por përdorimi i platformave të reja nënkupton edhe shfaqjen e kërcënimeve të reja. Mbajtja e ekipit tuaj brenda një organizate përgjegjëse për monitorimin e sigurisë së shërbimeve cloud nuk është një detyrë e lehtë. Mjetet ekzistuese të monitorimit janë të shtrenjta dhe të ngadalta. Ato janë, në një farë mase, të vështira për t'u menaxhuar kur bëhet fjalë për sigurimin e infrastrukturës së resë në shkallë të gjerë. Për të mbajtur sigurinë e tyre në cloud në një nivel të lartë, kompanitë kanë nevojë për mjete të fuqishme, fleksibël dhe intuitive që shkojnë përtej asaj që ishte në dispozicion më parë. Këtu janë shumë të dobishme teknologjitë me burim të hapur, duke ndihmuar në kursimin e buxheteve të sigurisë dhe duke u krijuar nga specialistë që dinë shumë për biznesin e tyre.
Artikulli, përkthimi i të cilit po botojmë sot, ofron një pasqyrë të 7 mjeteve me burim të hapur për monitorimin e sigurisë së sistemeve cloud. Këto mjete janë krijuar për të mbrojtur kundër hakerëve dhe kriminelëve kibernetikë duke zbuluar anomali dhe aktivitete të pasigurta.
1. Pyetje
është një sistem për monitorimin dhe analizën e nivelit të ulët të sistemeve operative që lejon profesionistët e sigurisë të kryejnë miniera komplekse të të dhënave duke përdorur SQL. Korniza Osquery mund të funksionojë në Linux, macOS, Windows dhe FreeBSD. Ai përfaqëson sistemin operativ (OS) si një bazë të dhënash relacionale me performancë të lartë. Kjo i lejon specialistët e sigurisë të ekzaminojnë OS duke ekzekutuar pyetje SQL. Për shembull, duke përdorur një pyetje, mund të mësoni për proceset e ekzekutimit, modulet e ngarkuara të kernelit, lidhjet e hapura të rrjetit, shtesat e instaluara të shfletuesit, ngjarjet e harduerit dhe hash-et e skedarëve.
Korniza Osquery u krijua nga Facebook. Kodi i tij ishte me burim të hapur në vitin 2014, pasi kompania kuptoi se nuk ishte vetëm ajo që kishte nevojë për mjete për të monitoruar mekanizmat e nivelit të ulët të sistemeve operative. Që atëherë, Osquery është përdorur nga specialistë të kompanive si Dactiv, Google, Kolide, Trail of Bits, Uptycs dhe shumë të tjerë. Ishte kohët e fundit se Fondacioni Linux dhe Facebook do të formojnë një fond për të mbështetur Osquery.
Daemon monitorues pritës i Osquery, i quajtur osqueryd, ju lejon të planifikoni pyetje që mbledhin të dhëna nga e gjithë infrastruktura e organizatës suaj. Daemon mbledh rezultatet e pyetjeve dhe krijon regjistra që pasqyrojnë ndryshimet në gjendjen e infrastrukturës. Kjo mund t'i ndihmojë profesionistët e sigurisë të qëndrojnë të informuar për statusin e sistemit dhe është veçanërisht e dobishme për identifikimin e anomalive. Aftësitë e grumbullimit të regjistrave të Osquery mund të përdoren për t'ju ndihmuar të gjeni malware të njohur dhe të panjohur, si dhe të identifikoni se ku kanë hyrë sulmuesit në sistemin tuaj dhe të gjeni se çfarë programesh kanë instaluar. Lexoni më shumë rreth zbulimit të anomalive duke përdorur Osquery.
2.GoAudit
Sistem përbëhet nga dy komponentë kryesorë. E para është një kod i nivelit të kernelit i krijuar për të përgjuar dhe monitoruar thirrjet e sistemit. Komponenti i dytë është një daemon i hapësirës së përdoruesit të quajtur . Është përgjegjës për shkrimin e rezultateve të auditimit në disk. , një sistem i krijuar nga kompania dhe lëshuar në vitin 2016, me qëllim për të zëvendësuar audituar. Ai ka përmirësuar aftësitë e regjistrimit duke konvertuar mesazhet e ngjarjeve me shumë linja të krijuara nga sistemi i auditimit Linux në blobs të vetme JSON për analizë më të lehtë. Me GoAudit, ju mund të aksesoni drejtpërdrejt mekanizmat e nivelit të kernelit përmes rrjetit. Përveç kësaj, mund të aktivizoni filtrimin minimal të ngjarjeve në vetë hostin (ose ta çaktivizoni plotësisht filtrimin). Në të njëjtën kohë, GoAudit është një projekt i krijuar jo vetëm për të garantuar sigurinë. Ky mjet është projektuar si një mjet i pasur me veçori për profesionistët e mbështetjes ose zhvillimit të sistemeve. Ndihmon në luftimin e problemeve në infrastrukturat në shkallë të gjerë.
Sistemi GoAudit është i shkruar në Golang. Është një gjuhë e sigurt për tipin dhe me performancë të lartë. Përpara se të instaloni GoAudit, kontrolloni që versioni juaj i Golang të jetë më i lartë se 1.7.
3. Grapl
Projekt (Platforma Graph Analytics) u transferua në kategorinë me burim të hapur në mars të vitit të kaluar. Është një platformë relativisht e re për zbulimin e çështjeve të sigurisë, kryerjen e mjekësisë ligjore kompjuterike dhe gjenerimin e raporteve të incidenteve. Sulmuesit shpesh punojnë duke përdorur diçka si një model grafiku, duke fituar kontrollin e një sistemi të vetëm dhe duke eksploruar sisteme të tjera të rrjetit duke filluar nga ai sistem. Prandaj, është mjaft e natyrshme që mbrojtësit e sistemit të përdorin gjithashtu një mekanizëm të bazuar në një model të një grafiku të lidhjeve të sistemeve të rrjetit, duke marrë parasysh veçoritë e marrëdhënieve midis sistemeve. Grapl demonstron një përpjekje për të zbatuar masat e zbulimit dhe reagimit të incidentit bazuar në një model grafiku sesa në një model log.
Mjeti Grapl merr regjistrat e lidhur me sigurinë (regjistrat e Sysmon ose regjistrat në formatin e rregullt JSON) dhe i konverton ato në nëngrafikë (duke përcaktuar një "identitet" për secilën nyje). Pas kësaj, ai kombinon nëngrafët në një grafik të përbashkët (Master Graph), i cili përfaqëson veprimet e kryera në mjediset e analizuara. Grapl më pas ekzekuton Analizuesit në grafikun që rezulton duke përdorur "nënshkrimet e sulmuesit" për të identifikuar anomalitë dhe modelet e dyshimta. Kur analizuesi identifikon një nëngraf të dyshimtë, Grapl gjeneron një konstrukt Angazhimi të destinuar për hetim. Engagement është një klasë Python që mund të ngarkohet, për shembull, në një Notebook Jupyter të vendosur në mjedisin AWS. Grapl, përveç kësaj, mund të rrisë shkallën e mbledhjes së informacionit për hetimin e incidentit përmes zgjerimit të grafikut.
Nëse dëshironi të kuptoni më mirë Grapl, mund t'i hidhni një sy video interesante - regjistrimi i një performance nga BSides Las Vegas 2019.
4. OSSEC
është një projekt i themeluar në vitin 2004. Ky projekt, në përgjithësi, mund të karakterizohet si një platformë e monitorimit të sigurisë me burim të hapur, e krijuar për analizën e hostit dhe zbulimin e ndërhyrjeve. OSSEC shkarkohet më shumë se 500000 herë në vit. Kjo platformë përdoret kryesisht si një mjet për zbulimin e ndërhyrjeve në serverë. Për më tepër, ne po flasim për sistemet lokale dhe cloud. OSSEC përdoret gjithashtu shpesh si një mjet për ekzaminimin e regjistrave të monitorimit dhe analizës së mureve të zjarrit, sistemeve të zbulimit të ndërhyrjeve, serverëve në internet dhe gjithashtu për studimin e regjistrave të vërtetimit.
OSSEC kombinon aftësitë e një Sistemi të Zbulimit të Ndërhyrjeve të Bazuar në Host (HIDS) me një sistem të Menaxhimit të Incidentit të Sigurisë (SIM) dhe të Informacionit të Sigurisë dhe Menaxhimit të Ngjarjeve (SIEM). OSSEC gjithashtu mund të monitorojë integritetin e skedarit në kohë reale. Kjo, për shembull, monitoron regjistrin e Windows dhe zbulon rootkits. OSSEC është në gjendje të njoftojë palët e interesuara për problemet e zbuluara në kohë reale dhe ndihmon për t'iu përgjigjur shpejt kërcënimeve të zbuluara. Kjo platformë mbështet Microsoft Windows dhe sistemet më moderne të ngjashme me Unix, duke përfshirë Linux, FreeBSD, OpenBSD dhe Solaris.
Platforma OSSEC përbëhet nga një ent qendror kontrolli, një menaxher, që përdoret për të marrë dhe monitoruar informacionin nga agjentët (programe të vogla të instaluara në sistemet që duhet të monitorohen). Menaxheri është i instaluar në një sistem Linux, i cili ruan një bazë të dhënash të përdorur për të kontrolluar integritetin e skedarëve. Ai gjithashtu ruan regjistrat dhe të dhënat e ngjarjeve dhe rezultatet e auditimit të sistemit.
Projekti OSSEC aktualisht mbështetet nga Atomicorp. Kompania mbikëqyr një version falas me burim të hapur dhe, përveç kësaj, ofron version tregtar i produktit. podcast në të cilin menaxheri i projektit OSSEC flet për versionin më të fundit të sistemit - OSSEC 3.0. Ai gjithashtu flet për historinë e projektit, dhe se si ai ndryshon nga sistemet moderne komerciale të përdorura në fushën e sigurisë kompjuterike.
5. merkat
— это опенсорсный проект, ориентированный на решение основных задач обеспечения компьютерной безопасности. В частности, в его состав входит система обнаружения вторжений, система предотвращения вторжений, инструмент для мониторинга сетевой безопасности.
Ky produkt u shfaq në vitin 2009. Puna e tij bazohet në rregulla. Kjo do të thotë, ai që e përdor atë ka mundësinë të përshkruajë disa veçori të trafikut të rrjetit. Nëse rregulli aktivizohet, Suricata gjeneron një njoftim, duke bllokuar ose ndërprerë lidhjen e dyshimtë, e cila, përsëri, varet nga rregullat e specifikuara. Projekti gjithashtu mbështet funksionimin me shumë fije. Kjo bën të mundur përpunimin e shpejtë të një numri të madh rregullash në rrjetet që bartin vëllime të mëdha trafiku. Falë mbështetjes me shumë fije, një server krejtësisht i zakonshëm është në gjendje të analizojë me sukses trafikun që udhëton me një shpejtësi prej 10 Gbit/s. Në këtë rast, administratori nuk duhet të kufizojë grupin e rregullave të përdorura për analizën e trafikut. Suricata gjithashtu mbështet hashimin dhe rikthimin e skedarëve.
Suricata mund të konfigurohet të funksionojë në serverë të rregullt ose në makina virtuale, të tilla si AWS, duke përdorur një veçori të prezantuar së fundi në produkt .
Projekti mbështet skriptet Lua, të cilat mund të përdoren për të krijuar logjikë komplekse dhe të detajuar për analizimin e nënshkrimeve të kërcënimit.
Projekti Suricata menaxhohet nga Fondacioni i Sigurisë së Informacionit të Hapur (OISF).
6. Zeek (Bro)
Ashtu si Suricata, (ky projekt më parë quhej Bro dhe u riemërua Zeek në BroCon 2018) është gjithashtu një sistem zbulimi i ndërhyrjeve dhe një mjet monitorimi i sigurisë së rrjetit që mund të zbulojë anomali të tilla si aktivitete të dyshimta ose të rrezikshme. Zeek ndryshon nga IDS tradicionale në atë që, ndryshe nga sistemet e bazuara në rregulla që zbulojnë përjashtime, Zeek gjithashtu kap meta të dhënat që lidhen me atë që po ndodh në rrjet. Kjo është bërë për të kuptuar më mirë kontekstin e sjelljes së pazakontë të rrjetit. Kjo lejon, për shembull, duke analizuar një thirrje HTTP ose procedurën për shkëmbimin e certifikatave të sigurisë, të shikojë protokollin, kokat e paketave, emrat e domeneve.
Nëse e konsiderojmë Zeek si një mjet sigurie në rrjet, atëherë mund të themi se i jep një specialisti mundësinë të hetojë një incident duke mësuar se çfarë ka ndodhur para ose gjatë incidentit. Zeek gjithashtu konverton të dhënat e trafikut të rrjetit në ngjarje të nivelit të lartë dhe ofron mundësinë për të punuar me një interpretues skripti. Përkthyesi mbështet një gjuhë programimi që përdoret për të bashkëvepruar me ngjarjet dhe për të kuptuar se çfarë nënkuptojnë saktësisht ato ngjarje përsa i përket sigurisë së rrjetit. Gjuha e programimit Zeek mund të përdoret për të personalizuar mënyrën e interpretimit të meta të dhënave për t'iu përshtatur nevojave të një organizate specifike. Kjo ju lejon të ndërtoni kushte komplekse logjike duke përdorur operatorët DHE, OSE dhe JO. Kjo u jep përdoruesve mundësinë për të personalizuar mënyrën se si analizohen mjediset e tyre. Sidoqoftë, duhet të theksohet se, në krahasim me Suricata, Zeek mund të duket si një mjet mjaft kompleks kur kryen zbulimin e kërcënimeve të sigurisë.
Nëse jeni të interesuar për më shumë detaje rreth Zeek, ju lutemi kontaktoni video.
7. Pantera
është një platformë e fuqishme, e bazuar në renë kompjuterike, për monitorim të vazhdueshëm të sigurisë. Kohët e fundit është transferuar në kategorinë me burim të hapur. Arkitekti kryesor është në origjinën e projektit — zgjidhje për analizën e automatizuar të regjistrave, kodi i të cilave u hap nga Airbnb. Panther i jep përdoruesit një sistem të vetëm për zbulimin qendror të kërcënimeve në të gjitha mjediset dhe organizimin e një përgjigjeje ndaj tyre. Ky sistem është në gjendje të rritet së bashku me madhësinë e infrastrukturës që shërbehet. Zbulimi i kërcënimit bazohet në rregulla transparente, përcaktuese për të reduktuar rezultatet false dhe ngarkesën e panevojshme të punës për profesionistët e sigurisë.
Ndër karakteristikat kryesore të Panther janë këto:
- Zbulimi i aksesit të paautorizuar në burime duke analizuar regjistrat.
- Zbulimi i kërcënimit, i zbatuar duke kërkuar regjistrat për tregues që tregojnë probleme sigurie. Kërkimi kryhet duke përdorur fushat e standardizuara të të dhënave të Panter-it.
- Kontrollimi i sistemit për përputhjen me standardet SOC/PCI/HIPAA duke përdorur Mekanizmat e panterës.
- Mbroni burimet tuaja cloud duke korrigjuar automatikisht gabimet e konfigurimit që mund të shkaktojnë probleme serioze nëse shfrytëzohen nga sulmuesit.
Panther është vendosur në renë AWS të një organizate duke përdorur AWS CloudFormation. Kjo i lejon përdoruesit të jetë gjithmonë në kontroll të të dhënave të tij.
Rezultatet e
Monitorimi i sigurisë së sistemit është një detyrë kritike këto ditë. Në zgjidhjen e këtij problemi, kompanitë e çdo madhësie mund të ndihmohen nga mjete me burim të hapur që ofrojnë shumë mundësi dhe kushtojnë pothuajse asgjë ose janë falas.
Të nderuar lexues! Çfarë mjetesh monitorimi të sigurisë përdorni?
Burimi: www.habr.com