Den utbredda användningen av cloud computing hjälper företag att skala sin verksamhet. Men användningen av nya plattformar innebär också uppkomsten av nya hot. Att underhålla ditt eget team inom en organisation som ansvarar för att övervaka säkerheten för molntjänster är ingen lätt uppgift. Befintliga övervakningsverktyg är dyra och långsamma. De är till viss del svåra att hantera när det gäller att säkra storskalig molninfrastruktur. För att hålla sin molnsäkerhet på en hög nivå behöver företag kraftfulla, flexibla och intuitiva verktyg som går utöver vad som tidigare fanns tillgängligt. Det är här som öppen källkodsteknik kommer till stor nytta, hjälper till att spara säkerhetsbudgetar och skapas av specialister som vet mycket om sin verksamhet.
Artikeln, vars översättning vi publicerar idag, ger en översikt över 7 verktyg med öppen källkod för att övervaka säkerheten i molnsystem. Dessa verktyg är utformade för att skydda mot hackare och cyberbrottslingar genom att upptäcka anomalier och osäkra aktiviteter.
1. Osquery
är ett system för lågnivåövervakning och analys av operativsystem som gör det möjligt för säkerhetspersonal att utföra komplex datautvinning med SQL. Osquery-ramverket kan köras på Linux, macOS, Windows och FreeBSD. Den representerar operativsystemet (OS) som en högpresterande relationsdatabas. Detta gör att säkerhetsspecialister kan undersöka operativsystemet genom att köra SQL-frågor. Med hjälp av en fråga kan du till exempel ta reda på om processer som körs, laddade kärnmoduler, öppna nätverksanslutningar, installerade webbläsartillägg, hårdvaruhändelser och filhaschar.
Osquery-ramverket skapades av Facebook. Dess kod var öppen källkod 2014, efter att företaget insåg att det inte bara var det själv som behövde verktyg för att övervaka lågnivåmekanismerna i operativsystem. Sedan dess har Osquery använts av specialister från företag som Dactiv, Google, Kolide, Trail of Bits, Uptycs och många andra. Det var nyligen att Linux Foundation och Facebook ska bilda en fond för att stödja Osquery.
Osquerys värdövervakningsdemon, kallad osqueryd, låter dig schemalägga frågor som samlar in data från hela din organisations infrastruktur. Demonen samlar in frågeresultat och skapar loggar som återspeglar förändringar i infrastrukturens tillstånd. Detta kan hjälpa säkerhetspersonal att hålla sig à jour med systemets status och är särskilt användbart för att identifiera avvikelser. Osquerys loggaggregationsfunktioner kan användas för att hjälpa dig hitta känd och okänd skadlig programvara, samt identifiera var angripare har tagit sig in i ditt system och hitta vilka program de har installerat. Läs mer om anomalidetektering med Osquery.
2.GoAudit
System består av två huvudkomponenter. Den första är en kod på kärnnivå som är utformad för att avlyssna och övervaka systemanrop. Den andra komponenten är en användarrymddemon som kallas . Den är ansvarig för att skriva granskningsresultat till disk. , ett system skapat av företaget och släpptes 2016, avsedd att ersätta granskad. Det har förbättrat loggningsmöjligheter genom att konvertera flerradiga händelsemeddelanden som genereras av Linux-revisionssystemet till enstaka JSON-blobbar för enklare analys. Med GoAudit kan du direkt komma åt mekanismer på kärnnivå över nätverket. Dessutom kan du aktivera minimal händelsefiltrering på själva värden (eller helt inaktivera filtrering). Samtidigt är GoAudit ett projekt utformat inte bara för att säkerställa säkerhet. Det här verktyget är designat som ett funktionsrikt verktyg för systemsupport eller utvecklingsproffs. Det hjälper till att bekämpa problem i storskalig infrastruktur.
GoAudit-systemet är skrivet i Golang. Det är ett typsäkert och högpresterande språk. Innan du installerar GoAudit, kontrollera att din version av Golang är högre än 1.7.
3. Grapl
Projekt (Graph Analytics Platform) överfördes till kategorin öppen källkod i mars förra året. Det är en relativt ny plattform för att upptäcka säkerhetsproblem, utföra datorkriminalteknik och generera incidentrapporter. Angripare arbetar ofta med något som en grafmodell, får kontroll över ett enda system och utforskar andra nätverkssystem med utgångspunkt från det systemet. Därför är det ganska naturligt att systemförsvarare också kommer att använda en mekanism baserad på en modell av en graf över anslutningar av nätverkssystem, med hänsyn till särdragen hos relationer mellan system. Grapl visar ett försök att implementera incidentdetektering och responsåtgärder baserat på en grafmodell snarare än en loggmodell.
Grapl-verktyget tar säkerhetsrelaterade loggar (Sysmon-loggar eller loggar i vanligt JSON-format) och konverterar dem till subgrafer (definierar en "identitet" för varje nod). Därefter kombinerar den subgraferna till en gemensam graf (Master Graph), som representerar de åtgärder som utförs i de analyserade miljöerna. Grapl kör sedan Analyzers på den resulterande grafen med hjälp av "angriparsignaturer" för att identifiera anomalier och misstänkta mönster. När analysatorn identifierar en misstänkt subgraf, genererar Grapl en Engagement-konstruktion avsedd för undersökning. Engagement är en Python-klass som till exempel kan laddas in i en Jupyter Notebook som distribueras i AWS-miljön. Grapl kan dessutom öka omfattningen av informationsinsamling för incidentutredning genom grafexpansion.
Om du vill förstå Grapl bättre kan du ta en titt intressant video - inspelning av ett framträdande från BSides Las Vegas 2019.
4. OSSEC
är ett projekt som grundades 2004. Detta projekt i allmänhet kan karakteriseras som en säkerhetsövervakningsplattform med öppen källkod designad för värdanalys och intrångsdetektering. OSSEC laddas ner mer än 500000 XNUMX gånger per år. Denna plattform används främst som ett sätt att upptäcka intrång på servrar. Dessutom talar vi om både lokala och molnsystem. OSSEC används också ofta som ett verktyg för att undersöka övervaknings- och analysloggar av brandväggar, intrångsdetekteringssystem, webbservrar och även för att studera autentiseringsloggar.
OSSEC kombinerar funktionerna hos ett värdbaserat intrångsdetektionssystem (HIDS) med ett system för säkerhetsincidenthantering (SIM) och SIEM-system (Security Information and Event Management). OSSEC kan också övervaka filintegriteten i realtid. Detta övervakar till exempel Windows-registret och upptäcker rootkits. OSSEC kan meddela intressenter om upptäckta problem i realtid och hjälper till att snabbt reagera på upptäckta hot. Denna plattform stöder Microsoft Windows och de flesta moderna Unix-liknande system, inklusive Linux, FreeBSD, OpenBSD och Solaris.
OSSEC-plattformen består av en central kontrollenhet, en chef, som används för att ta emot och övervaka information från agenter (små program installerade på systemen som behöver övervakas). Hanteraren är installerad på ett Linux-system, som lagrar en databas som används för att kontrollera filernas integritet. Den lagrar också loggar och register över händelser och systemrevisionsresultat.
OSSEC-projektet stöds för närvarande av Atomicorp. Företaget övervakar en gratis version med öppen källkod och erbjuder dessutom kommersiell version av produkten. podcast där OSSEC-projektledaren berättar om den senaste versionen av systemet - OSSEC 3.0. Den berättar också om projektets historia och hur det skiljer sig från moderna kommersiella system som används inom datasäkerhetsområdet.
5. surikat
är ett öppen källkodsprojekt fokuserat på att lösa de viktigaste problemen med datorsäkerhet. I synnerhet inkluderar det ett intrångsdetekteringssystem, ett intrångsskyddssystem och ett nätverkssäkerhetsövervakningsverktyg.
Denna produkt dök upp 2009. Hans arbete bygger på regler. Det vill säga att den som använder den har möjlighet att beskriva vissa funktioner i nätverkstrafiken. Om regeln utlöses genererar Suricata ett meddelande, blockerar eller avslutar den misstänkta anslutningen, vilket återigen beror på de angivna reglerna. Projektet stöder också flertrådsdrift. Detta gör det möjligt att snabbt bearbeta ett stort antal regler i nätverk som bär stora trafikvolymer. Tack vare multi-threading-stöd kan en helt vanlig server framgångsrikt analysera trafik som färdas med en hastighet av 10 Gbit/s. I det här fallet behöver administratören inte begränsa uppsättningen regler som används för trafikanalys. Suricata stöder även hash och filhämtning.
Suricata kan konfigureras för att köras på vanliga servrar eller på virtuella maskiner, såsom AWS, med hjälp av en nyligen introducerad funktion i produkten .
Projektet stöder Lua-skript, som kan användas för att skapa komplex och detaljerad logik för att analysera hotsignaturer.
Suricata-projektet leds av Open Information Security Foundation (OISF).
6. Zeek (bror)
Som Suricata, (det här projektet hette tidigare Bro och döptes om till Zeek vid BroCon 2018) är också ett intrångsdetekteringssystem och nätverkssäkerhetsövervakningsverktyg som kan upptäcka anomalier som misstänkt eller farlig aktivitet. Zeek skiljer sig från traditionell IDS genom att, till skillnad från regelbaserade system som upptäcker undantag, fångar Zeek även in metadata som är associerade med vad som händer i nätverket. Detta görs för att bättre förstå sammanhanget med ovanligt nätverksbeteende. Detta gör det möjligt att, till exempel, genom att analysera ett HTTP-anrop eller proceduren för utbyte av säkerhetscertifikat, titta på protokollet, på pakethuvuden, på domännamnen.
Om vi betraktar Zeek som ett nätverkssäkerhetsverktyg, så kan vi säga att det ger en specialist möjlighet att undersöka en incident genom att lära sig om vad som hände före eller under incidenten. Zeek konverterar också nätverkstrafikdata till händelser på hög nivå och ger möjligheten att arbeta med en skripttolkare. Tolken stöder ett programmeringsspråk som används för att interagera med händelser och för att ta reda på vad exakt dessa händelser betyder i termer av nätverkssäkerhet. Programmeringsspråket Zeek kan användas för att anpassa hur metadata tolkas för att passa en specifik organisations behov. Det låter dig bygga komplexa logiska villkor med hjälp av AND-, OR- och NOT-operatorerna. Detta ger användarna möjlighet att anpassa hur deras miljöer analyseras. Det bör dock noteras att Zeek, i jämförelse med Suricata, kan verka som ett ganska komplicerat verktyg när man genomför säkerhetshotspaning.
Om du är intresserad av mer information om Zeek, vänligen kontakta video.
7. Panter
är en kraftfull, naturligt molnbaserad plattform för kontinuerlig säkerhetsövervakning. Den överfördes nyligen till kategorin öppen källkod. Huvudarkitekten är i början av projektet — lösningar för automatiserad logganalys, vars kod öppnades av Airbnb. Panther ger användaren ett enda system för att centralt upptäcka hot i alla miljöer och organisera ett svar på dem. Detta system kan växa tillsammans med storleken på den infrastruktur som betjänas. Hotdetektion är baserad på transparenta, deterministiska regler för att minska falska positiva resultat och onödig arbetsbelastning för säkerhetspersonal.
Bland huvudfunktionerna i Panther är följande:
- Detektering av obehörig åtkomst till resurser genom att analysera loggar.
- Hotdetektering, implementerad genom att söka i loggar efter indikatorer som indikerar säkerhetsproblem. Sökningen görs med hjälp av Panters standardiserade datafält.
- Kontrollera att systemet överensstämmer med SOC/PCI/HIPAA-standarder med hjälp av Pantermekanismer.
- Skydda dina molnresurser genom att automatiskt korrigera konfigurationsfel som kan orsaka allvarliga problem om de utnyttjas av angripare.
Panther distribueras på en organisations AWS-moln med hjälp av AWS CloudFormation. Detta gör att användaren alltid har kontroll över sina data.
Resultat av
Att övervaka systemsäkerheten är en viktig uppgift i dessa dagar. För att lösa detta problem kan företag av alla storlekar få hjälp av verktyg med öppen källkod som ger många möjligheter och kostar nästan ingenting eller är gratis.
Kära läsare! Vilka säkerhetsövervakningsverktyg använder du?
Källa: will.com