การนำระบบคลาวด์คอมพิวติ้งมาใช้อย่างแพร่หลายช่วยให้บริษัทต่างๆ ขยายขนาดธุรกิจของตนได้ แต่การใช้แพลตฟอร์มใหม่ยังหมายถึงการเกิดขึ้นของภัยคุกคามใหม่ๆ อีกด้วย การรักษาทีมของคุณเองภายในองค์กรที่รับผิดชอบในการตรวจสอบความปลอดภัยของบริการคลาวด์ไม่ใช่เรื่องง่าย เครื่องมือตรวจสอบที่มีอยู่มีราคาแพงและช้า ในระดับหนึ่งยากที่จะจัดการเมื่อพูดถึงการรักษาความปลอดภัยโครงสร้างพื้นฐานคลาวด์ขนาดใหญ่ เพื่อรักษาความปลอดภัยบนคลาวด์ในระดับสูง บริษัทต่างๆ ต้องการเครื่องมือที่มีประสิทธิภาพ ยืดหยุ่น และใช้งานง่าย ซึ่งเหนือกว่าที่เคยมีให้ใช้งานก่อนหน้านี้ นี่คือจุดที่เทคโนโลยีโอเพ่นซอร์สมีประโยชน์มาก โดยช่วยประหยัดงบประมาณด้านความปลอดภัย และสร้างขึ้นโดยผู้เชี่ยวชาญที่มีความรู้เกี่ยวกับธุรกิจของตนเป็นอย่างดี
บทความซึ่งฉบับแปลที่เราเผยแพร่ในวันนี้ นำเสนอภาพรวมของเครื่องมือโอเพ่นซอร์ส 7 รายการสำหรับการตรวจสอบความปลอดภัยของระบบคลาวด์ เครื่องมือเหล่านี้ได้รับการออกแบบมาเพื่อป้องกันแฮกเกอร์และอาชญากรไซเบอร์โดยการตรวจจับความผิดปกติและกิจกรรมที่ไม่ปลอดภัย
1. ออสคิวรี
กรอบ Osquery ถูกสร้างขึ้นโดย Facebook รหัสของมันถูกเปิดแหล่งที่มาในปี 2014 หลังจากที่บริษัทตระหนักว่าไม่ใช่แค่ตัวมันเองเท่านั้นที่จำเป็นต้องมีเครื่องมือในการตรวจสอบกลไกระดับต่ำของระบบปฏิบัติการ ตั้งแต่นั้นมา Osquery ก็ถูกใช้โดยผู้เชี่ยวชาญจากบริษัทต่างๆ เช่น Dactiv, Google, Kolide, Trail of Bits, Uptycs และอื่นๆ อีกมากมาย มันเป็นเมื่อเร็ว ๆ นี้
daemon การตรวจสอบโฮสต์ของ Osquery ที่เรียกว่า osqueryd ช่วยให้คุณสามารถกำหนดเวลาการสืบค้นที่รวบรวมข้อมูลจากทั่วทั้งโครงสร้างพื้นฐานขององค์กรของคุณ daemon รวบรวมผลลัพธ์การสืบค้นและสร้างบันทึกที่สะท้อนถึงการเปลี่ยนแปลงในสถานะของโครงสร้างพื้นฐาน สิ่งนี้สามารถช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยติดตามสถานะของระบบได้ และมีประโยชน์อย่างยิ่งในการระบุความผิดปกติ ความสามารถในการรวบรวมบันทึกของ Osquery สามารถใช้เพื่อช่วยคุณค้นหามัลแวร์ที่รู้จักและไม่รู้จัก รวมทั้งระบุตำแหน่งที่ผู้โจมตีเข้าสู่ระบบของคุณและค้นหาโปรแกรมที่พวกเขาติดตั้ง
2.โกออดิท
ระบบ
ระบบ GoAudit เขียนด้วยภาษา Golang เป็นภาษาที่ปลอดภัยและมีประสิทธิภาพสูง ก่อนติดตั้ง GoAudit โปรดตรวจสอบว่าเวอร์ชัน Golang ของคุณสูงกว่า 1.7
3. กราฟ
โครงการ
เครื่องมือ Grapl ใช้บันทึกที่เกี่ยวข้องกับความปลอดภัย (บันทึก Sysmon หรือบันทึกในรูปแบบ JSON ปกติ) และแปลงเป็นกราฟย่อย (กำหนด “ข้อมูลประจำตัว” สำหรับแต่ละโหนด) หลังจากนั้นจะรวมกราฟย่อยให้เป็นกราฟทั่วไป (กราฟหลัก) ซึ่งแสดงถึงการดำเนินการที่ทำในสภาพแวดล้อมที่วิเคราะห์ จากนั้น Grapl จะเรียกใช้ตัววิเคราะห์บนกราฟผลลัพธ์โดยใช้ “ลายเซ็นของผู้โจมตี” เพื่อระบุความผิดปกติและรูปแบบที่น่าสงสัย เมื่อเครื่องวิเคราะห์ระบุกราฟย่อยที่น่าสงสัย Grapl จะสร้างโครงสร้างการมีส่วนร่วมที่มีไว้สำหรับการตรวจสอบ Engagement คือคลาส Python ที่สามารถโหลดได้ เช่น ใน Jupyter Notebook ที่ใช้งานในสภาพแวดล้อม AWS นอกจากนี้ Grapl ยังสามารถเพิ่มขนาดของการรวบรวมข้อมูลเพื่อการตรวจสอบเหตุการณ์ผ่านการขยายกราฟ
หากคุณต้องการเข้าใจ Grapl ให้ดีขึ้น คุณสามารถดูได้
4. สสส
OSSEC ผสมผสานความสามารถของ Host-Based Intrusion Detection System (HIDS) เข้ากับ Security Incident Management (SIM) และระบบ Security Information and Event Management (SIEM) OSSEC ยังสามารถตรวจสอบความสมบูรณ์ของไฟล์ได้แบบเรียลไทม์ ตัวอย่างเช่น จะตรวจสอบรีจิสทรีของ Windows และตรวจหารูทคิท OSSEC สามารถแจ้งเตือนผู้มีส่วนได้ส่วนเสียเกี่ยวกับปัญหาที่ตรวจพบได้แบบเรียลไทม์ และช่วยตอบสนองต่อภัยคุกคามที่ตรวจพบได้อย่างรวดเร็ว แพลตฟอร์มนี้รองรับ Microsoft Windows และระบบที่คล้าย Unix ที่ทันสมัยที่สุด รวมถึง Linux, FreeBSD, OpenBSD และ Solaris
แพลตฟอร์ม OSSEC ประกอบด้วยหน่วยงานควบคุมส่วนกลาง ซึ่งเป็นผู้จัดการ ซึ่งใช้ในการรับและตรวจสอบข้อมูลจากตัวแทน (โปรแกรมขนาดเล็กที่ติดตั้งบนระบบที่จำเป็นต้องได้รับการตรวจสอบ) ตัวจัดการได้รับการติดตั้งบนระบบ Linux ซึ่งจัดเก็บฐานข้อมูลที่ใช้ในการตรวจสอบความสมบูรณ์ของไฟล์ นอกจากนี้ยังจัดเก็บบันทึกและบันทึกเหตุการณ์และผลการตรวจสอบระบบ
ปัจจุบันโครงการ OSSEC ได้รับการสนับสนุนจาก Atomicorp บริษัทดูแลเวอร์ชันโอเพ่นซอร์สฟรีและยังมีข้อเสนอเพิ่มเติมอีกด้วย
5. เมียร์แคต
ผลิตภัณฑ์นี้ปรากฏในปี 2009 งานของเขาเป็นไปตามกฎเกณฑ์ นั่นคือผู้ที่ใช้งานมีโอกาสที่จะอธิบายคุณสมบัติบางอย่างของการรับส่งข้อมูลเครือข่าย หากกฎถูกทริกเกอร์ Suricata จะสร้างการแจ้งเตือน บล็อคหรือยุติการเชื่อมต่อที่น่าสงสัย ซึ่งขึ้นอยู่กับกฎที่ระบุอีกครั้ง โครงการนี้ยังรองรับการทำงานแบบมัลติเธรด ทำให้สามารถประมวลผลกฎจำนวนมากในเครือข่ายที่มีการรับส่งข้อมูลจำนวนมากได้อย่างรวดเร็ว ด้วยการรองรับแบบมัลติเธรด เซิร์ฟเวอร์ทั่วไปจึงสามารถวิเคราะห์การรับส่งข้อมูลที่เดินทางด้วยความเร็ว 10 Gbit/s ได้สำเร็จ ในกรณีนี้ ผู้ดูแลระบบไม่จำเป็นต้องจำกัดชุดกฎที่ใช้ในการวิเคราะห์การรับส่งข้อมูล Suricata ยังรองรับการแฮชและการดึงไฟล์
Suricata สามารถกำหนดค่าให้ทำงานบนเซิร์ฟเวอร์ปกติหรือบนเครื่องเสมือน เช่น AWS โดยใช้คุณสมบัติที่เพิ่งเปิดตัวในผลิตภัณฑ์
โปรเจ็กต์นี้รองรับสคริปต์ Lua ซึ่งสามารถใช้เพื่อสร้างตรรกะที่ซับซ้อนและมีรายละเอียดสำหรับการวิเคราะห์ลายเซ็นภัยคุกคาม
โครงการ Suricata ได้รับการจัดการโดย Open Information Security Foundation (OISF)
6. ซีค (พี่ชาย)
เช่นเดียวกับสุริกาตา
หากเราถือว่า Zeek เป็นเครื่องมือรักษาความปลอดภัยเครือข่าย เราก็สามารถพูดได้ว่าสิ่งนี้เปิดโอกาสให้ผู้เชี่ยวชาญตรวจสอบเหตุการณ์โดยการเรียนรู้เกี่ยวกับสิ่งที่เกิดขึ้นก่อนหรือระหว่างเหตุการณ์ Zeek ยังแปลงข้อมูลการรับส่งข้อมูลเครือข่ายให้เป็นเหตุการณ์ระดับสูงและให้ความสามารถในการทำงานร่วมกับล่ามสคริปต์ ล่ามสนับสนุนภาษาการเขียนโปรแกรมที่ใช้ในการโต้ตอบกับเหตุการณ์และเพื่อค้นหาว่าเหตุการณ์เหล่านั้นมีความหมายอย่างไรในแง่ของความปลอดภัยของเครือข่าย ภาษาการเขียนโปรแกรม Zeek สามารถใช้เพื่อปรับแต่งวิธีการตีความข้อมูลเมตาให้เหมาะกับความต้องการขององค์กรเฉพาะ ช่วยให้คุณสร้างเงื่อนไขตรรกะที่ซับซ้อนได้โดยใช้ตัวดำเนินการ AND, OR และ NOT สิ่งนี้ทำให้ผู้ใช้สามารถกำหนดวิธีวิเคราะห์สภาพแวดล้อมของตนได้ อย่างไรก็ตาม ควรสังเกตว่าเมื่อเปรียบเทียบกับ Suricata แล้ว Zeek อาจดูเหมือนเป็นเครื่องมือที่ค่อนข้างซับซ้อนเมื่อทำการลาดตระเวนภัยคุกคามความปลอดภัย
หากสนใจรายละเอียดเพิ่มเติมเกี่ยวกับ Zeek กรุณาติดต่อ
7. เสือดำ
คุณสมบัติหลักของ Panther มีดังต่อไปนี้:
- การตรวจจับการเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาตโดยการวิเคราะห์บันทึก
- การตรวจจับภัยคุกคาม ดำเนินการโดยการค้นหาบันทึกสำหรับตัวบ่งชี้ที่บ่งบอกถึงปัญหาด้านความปลอดภัย การค้นหาดำเนินการโดยใช้ช่องข้อมูลมาตรฐานของ Panter
- การตรวจสอบระบบว่าเป็นไปตามมาตรฐาน SOC/PCI/HIPAA โดยใช้
ในตัว กลไกเสือดำ - ปกป้องทรัพยากรคลาวด์ของคุณโดยแก้ไขข้อผิดพลาดในการกำหนดค่าโดยอัตโนมัติซึ่งอาจทำให้เกิดปัญหาร้ายแรงหากถูกโจมตีโดยผู้โจมตี
Panther ได้รับการปรับใช้บน AWS cloud ขององค์กรโดยใช้ AWS CloudFormation สิ่งนี้ทำให้ผู้ใช้สามารถควบคุมข้อมูลของเขาได้ตลอดเวลา
ผลของการ
การตรวจสอบความปลอดภัยของระบบถือเป็นงานที่สำคัญในปัจจุบัน ในการแก้ปัญหานี้ บริษัททุกขนาดสามารถช่วยได้โดยเครื่องมือโอเพ่นซอร์สที่ให้โอกาสมากมายและแทบไม่ต้องเสียค่าใช้จ่ายใดๆ หรือไม่มีค่าใช้จ่ายใดๆ เลย
เรียนผู้อ่าน! คุณใช้เครื่องมือตรวจสอบความปลอดภัยอะไรบ้าง?
ที่มา: will.com