Қабули васеъи роёниши абрӣ ба ширкатҳо дар миқёси тиҷорати худ кӯмак мекунад. Аммо истифодаи платформаҳои нав маънои пайдоиши таҳдидҳои навро дорад. Дастгирии дастаи худ дар дохили созмоне, ки барои назорати амнияти хидматҳои абр масъул аст, кори осон нест. Воситаҳои мавҷудаи мониторинг гарон ва суст мебошанд. Идоракунии онҳо то андозае душвор аст, агар ба шумо амнияти инфрасохтори абрии васеъмиқёсро таъмин кардан лозим бошад. Ширкатҳое, ки мехоҳанд амнияти абрии худро дар сатҳи баланд нигоҳ доранд, абзорҳоеро талаб мекунанд, ки аз он чизе ки қаблан дастрас буданд, тавоно, чандир ва фаҳмо бошанд. Дар ин ҷо технологияҳои кушодаасос хеле муфиданд, ки барои сарфа кардани буҷетҳо барои амният кӯмак мекунанд ва аз ҷониби мутахассисоне сохта мешаванд, ки дар бораи тиҷорати худ бисёр медонанд.
Мақола, ки тарҷумаи онро мо имрӯз нашр мекунем, шарҳи 7 абзори кушодаасосро барои мониторинги амнияти системаҳои абрӣ пешкаш мекунад. Ин воситаҳо барои муҳофизат аз ҳакерҳо ва киберҷинояткорон тавассути ошкор кардани аномалияҳо ва фаъолиятҳои хатарнок тарҳрезӣ шудаанд.
1. Огоҳӣ
як системаи мониторинг ва таҳлили системаҳои оператсионӣ дар сатҳи паст мебошад, ки ба мутахассисони амният имкон медиҳад, ки бо истифода аз SQL истихроҷи мураккаби маълумотро анҷом диҳанд. Чаҳорчӯбаи Osquery метавонад дар Linux, macOS, Windows ва FreeBSD кор кунад. Он системаи оператсиониро (ОС) ҳамчун базаи релясионии баландсифат пешниҳод мекунад. Ин ба мутахассисони амният имкон медиҳад, ки ОС-ро тавассути иҷрои дархостҳои SQL омӯзанд. Масалан, бо истифода аз пурсиш, шумо метавонед дар бораи равандҳои иҷрошаванда, модулҳои ядрои боршуда, дар бораи пайвастҳои шабакавии кушода, васеъшавии браузери насбшуда, дар бораи рӯйдодҳои сахтафзор, дар бораи миқдори хэш файлҳо маълумот гиред.
Чаҳорчӯби Osquery аз ҷониби Facebook сохта шудааст. Рамзи он дар соли 2014 кушода шуд, пас аз он ки ширкат фаҳмид, ки на танҳо ба худи ширкат асбобҳо барои назорат кардани механизмҳои сатҳи пасти системаҳои амалиётӣ лозиманд. Аз он вақт инҷониб, Osquery аз ҷониби коршиносони ширкатҳо ба монанди Dactiv, Google, Kolide, Trail of Bits, Uptycs ва бисёр дигарон истифода мешавад. Ба наздикӣ чунин буд ки Фонди Linux ва Фейсбук барои дастгирии Osquery хазина ташкил карданианд.
Демони мониторинги мизбони Osquery, ки osqueryd ном дорад, ба шумо имкон медиҳад, ки дархостҳоеро ба нақша гиред, ки маълумотро аз тамоми инфрасохтори ташкилоти шумо ҷамъоварӣ мекунанд. Демон натиҷаҳои дархостро ҷамъоварӣ мекунад ва гузоришҳоро эҷод мекунад, ки тағиротро дар ҳолати инфрасохтор инъикос мекунанд. Ин метавонад ба мутахассисони амният дар огоҳӣ аз вазъи система кӯмак расонад ва махсусан барои ошкор кардани аномалияҳо муфид аст. Имкониятҳои ҷамъоварии гузоришҳои Osquery метавонад барои осон кардани ҷустуҷӯи нармафзори зараровар маълум ва номаълум, инчунин барои муайян кардани куҷои вайронкорон ба система ва пайдо кардани барномаҳои насбкардаи онҳо истифода шавад. мавод, ки дар он шумо метавонед бо истифода аз Osquery тафсилотро дар бораи ошкор кардани аномалия пайдо кунед.
2. GoAudit
система аз ду ҷузъи асосӣ иборат аст. Якум, ин баъзе кодҳои сатҳи ядро мебошад, ки барои боздоштан ва назорат кардани зангҳои система пешбинӣ шудааст. Ҷузъи дуюм як демони фазои корбар аст, ки номида мешавад . Он барои навиштани натиҷаҳои аудит ба диск масъул аст. , системае, ки аз ҷониби ширкат сохта шудааст ва соли 2016 барои иваз кардани аудит пешбинӣ шудааст. Он тавассути табдил додани паёмҳои рӯйдодҳои бисёрсатраи аз ҷониби системаи аудити Linux тавлидшуда ба блокҳои ягонаи JSON қобилияти сабти номро беҳтар кардааст ва таҳлили онро осонтар мекунад. Бо шарофати GoAudit, шумо метавонед мустақиман ба механизмҳои сатҳи ядро тавассути шабака дастрасӣ пайдо кунед. Илова бар ин, шумо метавонед филтри ҳадди ақали рӯйдодҳоро дар худи ҳост фаъол созед (ё филтрро комилан ғайрифаъол кунед). Дар айни замон, GoAudit лоиҳаест, ки на танҳо барои амният пешбинӣ шудааст. Ин асбоб як воситаи бисёрфунксионалӣ барои дастгирии система ё мутахассисони таҳиякунанда аст. Он барои ҳалли мушкилот дар инфрасохтори калон кӯмак мекунад.
Системаи GoAudit дар Голанг навишта шудааст. Ин як забони навъи бехатар ва сермахсул аст. Пеш аз насб кардани GoAudit, боварӣ ҳосил кунед, ки версияи Golang аз 1.7 баландтар аст.
3 Grapl
Лоиҳа (Platform Analytics Graph) дар моҳи марти соли гузашта ба категорияи кушодаасос гузаронида шуд. Ин як платформаи нисбатан нав барои ошкор кардани масъалаҳои амниятӣ, гузаронидани экспертизаи криминалистии компютерӣ ва таҳияи гузоришҳо дар бораи ҳодисаҳо мебошад. Ҳамлагарон аксар вақт бо истифода аз чизе ба монанди модели графикӣ кор мекунанд, назорати системаи мушаххасро ба даст меоранд ва аз он система сар карда дигар системаҳои шабакавиро меомӯзанд. Аз ин рӯ, комилан табиист, ки муҳофизони система инчунин механизмеро, ки дар асоси модели графикии пайвастшавии системаҳои шабакавӣ асос ёфтаанд, истифода мебаранд, ки хусусияти муносибатҳои байни системаҳоро ба назар мегирад. Grapl кӯшиши татбиқи чораҳои ошкор ва вокунишро дар асоси модели графикӣ, на модели сабт нишон медиҳад.
Асбоби Grapl гузоришҳои марбут ба амниятро (журналҳои Sysmon ё сабтҳои оддии JSON) мегирад ва онҳоро ба зерграфҳо табдил медиҳад (муайянкунандаи "маълумоти шахсият" барои ҳар як гиреҳ). Баъд аз ин, он зерграфҳоро ба як графики умумӣ (Master Graph) муттаҳид мекунад, ки амалҳои дар муҳити таҳлилшуда иҷрошударо ифода мекунад. Сипас Grapl таҳлилгаронро дар графики натиҷавӣ бо истифода аз "имзои ҳамлагарон" барои ошкор кардани аномалияҳо ва намунаҳои шубҳанок кор мекунад. Вақте ки таҳлилкунанда зерграфи шубҳанокро муайян мекунад, Grapl барои тафтиш конструксияи Engagement эҷод мекунад. Машғулият як синфи Python аст, ки мумкин аст ба, масалан, ба ноутбуки Jupyter, ки дар муҳити AWS ҷойгир карда шудааст, бор карда шавад. Grapl инчунин қодир аст, ки ҷамъоварии иттилоотро барои таҳқиқи ҳодиса тавассути васеъ кардани график васеъ кунад.
Агар шумо хоҳед, ки бо Grapl беҳтар шавед, шумо метавонед ба он нигаред Видеои ҷолиб ин сабти намоиш аз BSides Las Vegas 2019 мебошад.
4 OSSEC
лоиҳаест, ки соли 2004 таъсис ёфтааст. Ин лоиҳаро дар маҷмӯъ метавон ҳамчун як платформаи мониторинги амнияти манбаи кушода тавсиф кард, ки барои таҳлили мизбон ва ошкор кардани ҳамла пешбинӣ шудааст. OSSEC дар як сол зиёда аз 500000 XNUMX бор зеркашӣ карда мешавад. Ин платформа асосан ҳамчун воситаи ошкоркунии дахолати сервер истифода мешавад. Ғайр аз он, мо дар бораи системаҳои маҳаллӣ ва абрӣ сухан меронем. OSSEC инчунин аксар вақт ҳамчун асбоб барои санҷиши гузоришҳои мониторинг ва таҳлили деворҳо, системаҳои ошкоркунии ҳамлаҳо, серверҳои веб ва тафтиши гузоришҳои аутентификатсия истифода мешавад.
OSSEC системаи ошкорсозии ҳамла дар асоси ҳост (HIDS) -ро бо идоракунии ҳодисаҳои амниятӣ (SIM) ва идоракунии иттилоот ва рӯйдодҳои амниятӣ (SIEM) муттаҳид мекунад. OSSEC инчунин қодир аст, ки тамомияти файлҳоро дар вақти воқеӣ назорат кунад. Ин, масалан, мониторинги феҳристи Windows, ошкор кардани руткитҳо мебошад. OSSEC қодир аст, ки ҷонибҳои манфиатдорро дар бораи мушкилоти ошкоршуда дар вақти воқеӣ огоҳ созад ва ба зудӣ ба таҳдидҳои ошкоршуда вокуниш нишон диҳад. Ин платформа Microsoft Windows ва аксари системаҳои муосири ба Unix монанд, аз ҷумла Linux, FreeBSD, OpenBSD ва Solaris -ро дастгирӣ мекунад.
Платформаи OSSEC аз як сохтори марказии назорат, менеҷер иборат аст, ки барои қабул ва мониторинги иттилоот аз агентҳо истифода мешавад (барномаҳои хурде, ки дар системаҳои назоратшаванда насб карда мешаванд). Менеҷер дар системаи Linux насб шудааст, ки пойгоҳи додаҳоро барои тафтиши якпорчагии файлҳо нигоҳ медорад. Он инчунин сабтҳо ва сабтҳои рӯйдодҳо ва натиҷаҳои аудити системаро нигоҳ медорад.
Лоиҳаи OSSEC дар айни замон аз ҷониби Atomicorp дастгирӣ карда мешавад. Ширкат як версияи ройгони кушодаасосро идора мекунад ва илова бар ин, пешниҳод мекунад версияи тиҷоратии маҳсулот. подкаст, ки дар он мудири лоиҳаи OSSEC дар бораи версияи охирини система - OSSEC 3.0. Он инчунин дар бораи таърихи лоиҳа ва чӣ гуна фарқияти он аз системаҳои муосири тиҷоратӣ, ки дар соҳаи амнияти компютерӣ истифода мешаванд, нақл мекунад.
5. Миркат
лоиҳаи кушодаасос мебошад, ки ба ҳалли масъалаҳои асосии амнияти компютер нигаронида шудааст. Аз ҷумла, он системаи ошкоркунии ҳамла, системаи пешгирии ҳамла ва асбоби мониторинги амнияти шабакаро дар бар мегирад.
Ин маҳсулот дар соли 2009 ба фурӯш бароварда шуд. Кори ӯ ба қоидаҳо асос ёфтааст. Яъне касе, ки онро истифода мебарад, имкони тавсифи баъзе хусусиятҳои трафики шабакаро дорад. Агар қоида ба кор андохта шавад, он гоҳ Suricata огоҳинома тавлид мекунад, ки пайвасти шубҳанокро манъ мекунад ё вайрон мекунад, ки боз ҳам аз қоидаҳои муқарраршуда вобаста аст. Лоиҳа инчунин якчанд риштаро дастгирӣ мекунад. Ин имкон медиҳад, ки миқдори зиёди қоидаҳо дар шабакаҳое, ки миқдори зиёди трафикро доранд, зуд коркард карда шаванд. Ба шарофати дастгирии бисёрсоҳавӣ, сервери хеле оддӣ қодир аст трафикро бо суръати 10 Гб / с бомуваффақият таҳлил кунад. Дар баробари ин, администратор набояд маҷмӯи қоидаҳоеро, ки барои таҳлили трафик истифода мешаванд, маҳдуд кунад. Suricata инчунин ҳашинг ва истихроҷи файлҳоро дастгирӣ мекунад.
Suricata метавонад бо истифода аз хусусияти ба наздикӣ ба маҳсулот иловашуда дар серверҳои муқаррарӣ ё мошинҳои виртуалӣ, ба монанди AWS кор кунад. .
Лоиҳа скриптҳои Lua-ро дастгирӣ мекунад, ки метавонанд барои эҷоди мантиқи мураккаб ва муфассали таҳлили имзои таҳдид истифода шаванд.
Лоиҳаи Suricata аз ҷониби Фонди амнияти иттилоотии кушода (OISF) идора карда мешавад.
6. Зек (бародар)
Мисли Суриката, (ин лоиҳа қаблан Bro номида шуда буд ва дар чорабинии BroCon 2018 ба Зеек номгузорӣ шуд) инчунин як системаи ошкоркунии дахолатнопазирӣ ва абзори мониторинги амнияти шабака мебошад, ки метавонад аномалияҳоро ба монанди фаъолиятҳои шубҳанок ё хатарнок ошкор кунад. Zeek аз IDS анъанавӣ бо он фарқ мекунад, ки бар хилофи системаҳои ба қоида асосёфта, ки истисноҳоро ошкор мекунанд, Zeek инчунин метамаълумотҳои марбут ба он чи дар шабака рух медиҳад, мегирад. Ин барои беҳтар фаҳмидани контексти рафтори ғайриоддии шабака анҷом дода мешавад. Ин имкон медиҳад, масалан, ҳангоми таҳлили занги HTTP ё тартиби табодули сертификатҳои амниятӣ ба протокол, сарлавҳаҳои бастаҳо ва номҳои домейнҳо назар кунед.
Агар мо Zeek-ро ҳамчун воситаи амнияти шабака баррасӣ кунем, пас мо метавонем бигӯем, ки он ба мутахассис имкон медиҳад, ки ҳодисаро тавассути омӯхтани ҳодисаи пеш аз ҳодиса ё дар давоми ҳодиса тафтиш кунад. Zeek инчунин маълумоти трафики шабакаро ба рӯйдодҳои сатҳи баланд табдил медиҳад ва имкон медиҳад, ки бо тарҷумони скрипт кор карда шавад. Тарҷумон забони барномасозиро дастгирӣ мекунад, ки барои муошират бо рӯйдодҳо ва фаҳмидани маҳз ин рӯйдодҳо аз нуқтаи назари амнияти шабака чӣ маъно дорад. Забони барномасозии Zeek метавонад барои танзими тафсири метамаълумотҳо, ки аз ҷониби як созмон лозим аст, истифода шавад. Он ба шумо имкон медиҳад, ки бо истифода аз операторҳои ВА, Ё ва НЕ шартҳои мураккаби мантиқӣ созед. Ин ба корбарон имкон медиҳад, ки чӣ гуна таҳлили муҳити онҳоро танзим кунанд. Дуруст аст, ки бояд қайд кард, ки дар муқоиса бо Суриката, Зек метавонад ҳангоми гузаронидани иктишофӣ оид ба таҳдидҳои амниятӣ як воситаи хеле мураккаб ба назар расад.
Агар шумо ба тафсилоти бештар дар бораи Zeek таваҷҷӯҳ дошта бошед, лутфан тамос гиред видео.
7. Пантера
платформаи пуриқтидори абрӣ барои мониторинги доимии амният аст. Он ба наздикӣ ба категорияи кушодаасос гузаронида шуд. Дар ибтидои лоиҳа меъмори асосӣ мебошад як роҳи ҳалли автоматии таҳлили маҷаллаҳо мебошад, ки рамзи он аз ҷониби Airbnb кушода шудааст. Panther ба корбар як системаи ягона медиҳад, то ба таври мутамарказ ошкор ва ба таҳдидҳо дар ҳама муҳитҳо вокуниш нишон диҳад. Ин система метавонад бо андозаи инфрасохтори хидматрасонӣ афзоиш ёбад. Муайян кардани таҳдидҳо бо истифода аз қоидаҳои шаффофи детерминистӣ барои коҳиш додани мусбатҳои бардурӯғ ва кам кардани сарбории нолозим барои мутахассисони амният ташкил карда мешавад.
Дар байни хусусиятҳои асосии Panther инҳоянд:
- Муайян кардани дастрасии беиҷозат ба захираҳо тавассути таҳлили гузоришҳо.
- Сканкунии таҳдид тавассути ҷустуҷӯи гузоришҳо барои нишондиҳандаҳое, ки масъалаҳои амниятро нишон медиҳанд, амалӣ карда мешавад. Ҷустуҷӯ бо истифода аз майдонҳои стандартии маълумоти Panter гузаронида мешавад.
- Санҷиши система барои мувофиқати SOC/PCI/HIPAA бо истифода аз Механизмҳои пантера.
- Захираҳои абрии худро бо роҳи ба таври худкор ислоҳ кардани хатогиҳои конфигуратсия ҳифз кунед, ки дар сурати истифода бурдани онҳо метавонанд боиси мушкилоти ҷиддӣ шаванд.
Пантера дар абри AWS созмон бо истифода аз AWS CloudFormation ҷойгир карда мешавад. Ин ба корбар имкон медиҳад, ки ҳамеша маълумоти худро назорат кунад.
Натиҷаҳо
Мониторинги бехатарии системаҳо дар ин рӯзҳо вазифаи муҳимтарин аст. Воситаҳои кушодаасос метавонанд ба ширкатҳои ҳама андоза дар ҳалли ин мушкилот кӯмак расонанд, ки имкониятҳои зиёдро фароҳам оранд ва қариб ҳеҷ чизи арзишнок ё ройгон надоранд.
Хонандагони азиз! Кадом воситаҳои мониторинги амниятро истифода мебаред?
Манбаъ: will.com