Nyokot nyebar tina komputasi awan ngabantosan perusahaan skala bisnisna. Tapi pamakéan platform anyar ogé hartina mecenghulna ancaman anyar. Ngajaga tim anjeun sorangan dina organisasi anu tanggung jawab pikeun ngawaskeun kaamanan jasa awan sanés tugas anu gampang. Alat ngawaskeun anu aya mahal sareng lambat. Aranjeunna, dugi ka sababaraha, sesah diurus nalika ngamankeun infrastruktur awan skala ageung. Pikeun ngajaga kaamanan awanna dina tingkat anu luhur, perusahaan peryogi alat anu kuat, fleksibel, sareng intuitif anu ngalangkungan naon anu sayogi sateuacana. Ieu tempat téknologi open source pisan gunana, ngabantosan ngahemat anggaran kaamanan sareng diciptakeun ku spesialis anu terang pisan ngeunaan bisnisna.
Tulisan éta, tarjamahan anu kami terbitkeun ayeuna, nyayogikeun tinjauan 7 alat open source pikeun ngawaskeun kaamanan sistem awan. Parabot ieu dirarancang pikeun ngajagi ngalawan peretas sareng penjahat cyber ku ngadeteksi anomali sareng kagiatan anu teu aman.
1. Osquery
nyaéta sistem pikeun ngawaskeun tingkat rendah sareng analisa sistem operasi anu ngamungkinkeun para profesional kaamanan ngalaksanakeun pertambangan data anu kompleks nganggo SQL. Kerangka Osquery tiasa dijalankeun dina Linux, macOS, Windows sareng FreeBSD. Ieu ngagambarkeun sistem operasi (OS) salaku-kinerja tinggi relational database. Hal ieu ngamungkinkeun spesialis kaamanan pikeun nalungtik OS ku ngajalankeun queries SQL. Salaku conto, nganggo pamundut, anjeun tiasa terang ngeunaan prosés ngajalankeun, modul kernel anu dimuat, sambungan jaringan kabuka, ekstensi browser anu dipasang, acara hardware, sareng hashes file.
Kerangka Osquery dijieun ku Facebook. Kodeu dibuka dina 2014, saatos perusahaan sadar yén sanés ngan ukur dirina anu peryogi alat pikeun ngawas mékanisme sistem operasi tingkat rendah. Ti saprak éta, Osquery parantos dianggo ku spesialis ti perusahaan sapertos Dactiv, Google, Kolide, Trail of Bits, Uptycs, sareng seueur deui. Ieu nembe yén Yayasan Linux sareng Facebook badé ngawangun dana pikeun ngadukung Osquery.
Daemon ngawaskeun host Osquery, anu disebut osqueryd, ngamungkinkeun anjeun ngajadwalkeun patarosan anu ngumpulkeun data ti sakumna infrastruktur organisasi anjeun. Daemon ngumpulkeun hasil query sarta nyieun log nu ngagambarkeun parobahan dina kaayaan infrastruktur. Ieu bisa mantuan professional kaamanan tetep abreast tina status sistem sarta hususna kapaké pikeun ngaidentipikasi anomali. Kamampuhan agrégasi log Osquery tiasa dianggo pikeun ngabantosan anjeun mendakan malware anu dipikanyaho sareng teu dipikanyaho, ogé ngaidentipikasi dimana panyerang parantos lebet kana sistem anjeun sareng milarian program naon anu parantos dipasang. Baca langkung seueur ngeunaan deteksi anomali nganggo Osquery.
2.GoAudit
sistim diwangun ku dua komponén utama. Anu kahiji nyaéta sababaraha kode tingkat kernel anu dirancang pikeun nyegat sareng ngawas telepon sistem. Komponén kadua nyaéta daemon rohangan pamaké disebut . Éta tanggung jawab pikeun nyerat hasil audit kana disk. , sistem dijieun ku pausahaan sarta dirilis dina 2016, dimaksudkeun pikeun ngaganti auditd. Éta parantos ningkatkeun kamampuan logging ku cara ngarobih pesen acara multi-garis anu dihasilkeun ku sistem auditing Linux kana gumpalan JSON tunggal pikeun nganalisa langkung gampang. Kalayan GoAudit, anjeun tiasa langsung ngaksés mékanisme tingkat kernel dina jaringan. Salaku tambahan, anjeun tiasa ngaktipkeun nyaring acara minimal dina host sorangan (atanapi nganonaktipkeun panyaring lengkep). Dina waktos anu sami, GoAudit mangrupikeun proyék anu dirancang henteu ngan ukur pikeun mastikeun kaamanan. Alat ieu dirancang salaku alat anu beunghar ku fitur pikeun pangrojong sistem atanapi profésional pamekaran. Éta ngabantosan merangan masalah dina infrastruktur skala ageung.
Sistem GoAudit ditulis dina Golang. Ieu mangrupakeun tipe-aman jeung-kinerja tinggi basa. Sateuacan masang GoAudit, pariksa yén versi Golang anjeun langkung luhur ti 1.7.
3. Grapl
proyek (Graph Analytics Platform) dialihkeun kana kategori open source dina Maret taun ka tukang. Éta mangrupikeun platform anu kawilang énggal pikeun ngadeteksi masalah kaamanan, ngalaksanakeun forensik komputer, sareng ngahasilkeun laporan kajadian. Panyerang mindeng dianggo ngagunakeun hal kawas model grafik, gaining kadali sistem tunggal jeung Ngajalajah sistem jaringan séjén mimitian ti sistem éta. Ku alatan éta, éta lumrah yén pembela sistem ogé bakal ngagunakeun mékanisme dumasar kana model grafik sambungan sistem jaringan, nyokot kana akun peculiarities hubungan antara sistem. Grapl nunjukkeun usaha pikeun nerapkeun deteksi kajadian sareng ukuran réspon dumasar kana modél grafik tinimbang modél log.
Alat Grapl nyandak log anu aya hubunganana sareng kaamanan (log Sysmon atanapi log dina format JSON biasa) sareng ngarobih kana subgraf (nangtukeun "idéntitas" pikeun tiap titik). Saatos éta, éta ngagabungkeun subgraf kana grafik umum (Master Graph), anu ngagambarkeun tindakan anu dilakukeun dina lingkungan anu dianalisis. Grapl teras ngajalankeun Analyzers dina grafik anu dihasilkeun nganggo "tanda tangan penyerang" pikeun ngaidentipikasi anomali sareng pola anu curiga. Nalika analisa ngaidentipikasi subgraf anu curiga, Grapl ngahasilkeun konstruk Akad Nikah anu dimaksudkeun pikeun panalungtikan. Dursasana nyaéta kelas Python nu bisa dimuat, contona, kana Jupyter Notebook deployed di lingkungan AWS. Grapl, salian ti éta, tiasa ningkatkeun skala pangumpulan inpormasi pikeun panalungtikan kajadian ngaliwatan ékspansi grafik.
Upami anjeun hoyong langkung ngartos Grapl, anjeun tiasa ningali video metot - ngarékam pagelaran ti BSides Las Vegas 2019.
4. OSSEC
mangrupa proyék diadegkeun dina 2004. Proyék ieu, sacara umum, tiasa dicirikeun salaku platform ngawaskeun kaamanan open-source anu dirancang pikeun analisa host sareng deteksi intrusion. OSSEC diunduh langkung ti 500000 kali per taun. Platform ieu dianggo utamina salaku alat pikeun ngadeteksi intrusi dina server. Sumawona, urang ngobrol ngeunaan sistem lokal sareng awan. OSSEC ogé mindeng dipaké salaku alat pikeun examining monitoring sarta analisis log firewalls, sistem deteksi intrusion, web server, sarta ogé pikeun diajar log auténtikasi.
OSSEC ngagabungkeun kamampuan Sistem Deteksi Intrusion Berbasis Host (HIDS) sareng Sistem Manajemén Kajadian Kaamanan (SIM) sareng Sistem Informasi Kaamanan sareng Manajemén Acara (SIEM). . OSSEC ogé tiasa ngawas integritas file sacara real waktos. Ieu, contona, ngawas pendaptaran Windows sareng ngadeteksi rootkit. OSSEC tiasa ngabéjaan pamangku kapentingan ngeunaan masalah anu dideteksi sacara real waktos sareng ngabantosan gancang ngabales ancaman anu dideteksi. Platform ieu ngadukung Microsoft Windows sareng sistem paling modern sapertos Unix, kalebet Linux, FreeBSD, OpenBSD sareng Solaris.
Platform OSSEC diwangun ku éntitas kontrol sentral, manajer, anu dianggo pikeun nampi sareng ngawas inpormasi ti agén (program leutik dipasang dina sistem anu kedah diawaskeun). Pangatur dipasang dina sistem Linux, anu nyimpen database anu dianggo pikeun mariksa integritas file. Éta ogé nyimpen log sareng rékaman acara sareng hasil audit sistem.
Proyék OSSEC ayeuna dirojong ku Atomicorp. Perusahaan ngawaskeun versi open source gratis, sareng, sajaba, nawaran Vérsi komérsial produk. podcast dimana manajer proyék OSSEC ngobrol ngeunaan versi panganyarna tina sistem - OSSEC 3.0. Éta ogé nyarioskeun ngeunaan sajarah proyék, sareng kumaha bédana sareng sistem komérsial modéren anu dianggo dina widang kaamanan komputer.
5. meerkat
mangrupa proyék open source fokus kana ngarengsekeun masalah utama kaamanan komputer. Khususna, kalebet sistem deteksi intrusi, sistem pencegahan intrusi, sareng alat ngawaskeun kaamanan jaringan.
Produk ieu muncul dina 2009. Karyana dumasar kana aturan. Hartina, hiji anu ngagunakeun eta boga kasempetan pikeun ngajelaskeun fitur tangtu lalulintas jaringan. Lamun aturan dipicu, Suricata ngahasilkeun bewara, blocking atawa terminating sambungan curiga, nu, deui, gumantung kana aturan nu tangtu. Proyék ogé ngadukung operasi multi-threaded. Hal ieu ngamungkinkeun pikeun gancang ngolah sajumlah ageung aturan dina jaringan anu mawa lalu lintas anu ageung. Hatur nuhun kana dukungan multi-threading, server anu lengkep biasa tiasa nganalisa lalu lintas perjalanan dina laju 10 Gbit / s. Dina hal ieu, administrator teu kudu ngawatesan susunan aturan dipaké pikeun analisis lalulintas. Suricata ogé ngadukung hashing sareng panyabutan file.
Suricata tiasa dikonpigurasi pikeun ngajalankeun dina server biasa atanapi dina mesin virtual, sapertos AWS, nganggo fitur anu nembe diwanohkeun dina produk. .
Proyék ngadukung skrip Lua, anu tiasa dianggo pikeun nyiptakeun logika anu rumit sareng detil pikeun nganalisa tanda tangan ancaman.
Proyék Suricata dikokolakeun ku Open Information Security Foundation (OISF).
6. Zeek (Bro)
Kawas Suricata, (proyék ieu baheulana disebut Bro sarta diganti Zeek di BroCon 2018) ogé mangrupa sistem deteksi intrusion sarta alat ngawaskeun kaamanan jaringan nu bisa ngadeteksi anomali kayaning aktivitas curiga atawa bahaya. Zeek bénten sareng IDS tradisional, teu sapertos sistem dumasar aturan anu ngadeteksi pengecualian, Zeek ogé ngarebut metadata anu aya hubunganana sareng naon anu lumangsung dina jaringan. Hal ieu dilakukeun supados langkung ngartos kontéks paripolah jaringan anu teu biasa. Hal ieu ngamungkinkeun, contona, ku analisa hiji panggero HTTP atawa prosedur pikeun exchanging sertipikat kaamanan, pikeun nempo protokol, dina headers pakét, dina ngaran domain.
Upami urang nganggap Zeek salaku alat kaamanan jaringan, maka urang tiasa nyarios yén éta masihan spesialis kasempetan pikeun nalungtik kajadian ku diajar ngeunaan naon anu kajantenan sateuacan atanapi salami kajadian éta. Zeek ogé ngarobah data patalimarga jaringan kana acara tingkat luhur sarta nyadiakeun kamampuhan pikeun digawekeun ku juru naskah. Juru basa ngadukung basa pamrograman anu dianggo pikeun berinteraksi sareng acara sareng terang naon hartosna acara éta dina hal kaamanan jaringan. Basa pamrograman Zeek tiasa dianggo pikeun ngaropea kumaha metadata diinterpretasi pikeun nyocogkeun ka kabutuhan organisasi khusus. Eta ngidinan Anjeun pikeun ngawangun kaayaan logis kompléks ngagunakeun AND, ATAWA jeung NOT operator. Ieu masihan pangguna kamampuan pikeun ngaropea kumaha lingkunganana dianalisis. Nanging, éta kedah diperhatoskeun yén, dibandingkeun sareng Suricata, Zeek sigana sapertos alat anu rada rumit nalika ngalaksanakeun pangintipan ancaman kaamanan.
Mun anjeun kabetot dina leuwih rinci ngeunaan Zeek, mangga ngahubungan video.
7. Pantera
mangrupakeun kuat, platform natively awan-pribumi pikeun monitoring kaamanan kontinyu. Ieu nembe dialihkeun kana kategori open source. Arsiték utama aya dina asal-usul proyék - solusi pikeun analisis log otomatis, kodeu dibuka ku Airbnb. Panther méré pamaké sistem tunggal pikeun centrally detecting ancaman dina sakabéh lingkungan jeung ngatur respon kana eta. Sistim ieu sanggup tumuwuh babarengan jeung ukuran infrastruktur anu dilayanan. Deteksi ancaman dumasar kana aturan anu transparan sareng deterministik pikeun ngirangan positip palsu sareng beban kerja anu teu dipikabutuh pikeun profésional kaamanan.
Diantara fitur utama Panther nyaéta kieu:
- Deteksi aksés anu henteu sah kana sumber ku nganalisa log.
- Deteksi ancaman, dilaksanakeun ku milarian log pikeun indikator anu nunjukkeun masalah kaamanan. Pilarian dilaksanakeun nganggo widang data standarisasi Panter.
- Mariksa sistem pikeun patuh kana standar SOC/PCI/HIPAA ngagunakeun mékanisme Panther.
- Jaga sumber awan anjeun ku cara otomatis ngabenerkeun kasalahan konfigurasi anu tiasa nyababkeun masalah anu serius upami dieksploitasi ku panyerang.
Panther dipasang dina awan AWS organisasi nganggo AWS CloudFormation. Hal ieu ngamungkinkeun pamaké pikeun salawasna ngadalikeun data-Na.
hasil
Ngawaskeun kaamanan sistem mangrupikeun tugas kritis ayeuna. Dina ngarengsekeun masalah ieu, pausahaan tina ukuran naon bisa dibantuan ku parabot open source nu nyadiakeun loba kasempetan jeung ongkos ampir euweuh atawa gratis.
Pamiarsa Hadirin! Alat ngawaskeun kaamanan naon anu anjeun anggo?
sumber: www.habr.com