การนำระบบคลาวด์คอมพิวติ้งมาใช้อย่างแพร่หลายช่วยให้บริษัทต่างๆ ขยายขนาดธุรกิจของตนได้ แต่การใช้แพลตฟอร์มใหม่ยังหมายถึงการเกิดขึ้นของภัยคุกคามใหม่ๆ อีกด้วย การรักษาทีมของคุณเองภายในองค์กรที่รับผิดชอบในการตรวจสอบความปลอดภัยของบริการคลาวด์ไม่ใช่เรื่องง่าย เครื่องมือตรวจสอบที่มีอยู่มีราคาแพงและช้า ในระดับหนึ่งยากที่จะจัดการเมื่อพูดถึงการรักษาความปลอดภัยโครงสร้างพื้นฐานคลาวด์ขนาดใหญ่ เพื่อรักษาความปลอดภัยบนคลาวด์ในระดับสูง บริษัทต่างๆ ต้องการเครื่องมือที่มีประสิทธิภาพ ยืดหยุ่น และใช้งานง่าย ซึ่งเหนือกว่าที่เคยมีให้ใช้งานก่อนหน้านี้ นี่คือจุดที่เทคโนโลยีโอเพ่นซอร์สมีประโยชน์มาก โดยช่วยประหยัดงบประมาณด้านความปลอดภัย และสร้างขึ้นโดยผู้เชี่ยวชาญที่มีความรู้เกี่ยวกับธุรกิจของตนเป็นอย่างดี
บทความซึ่งฉบับแปลที่เราเผยแพร่ในวันนี้ นำเสนอภาพรวมของเครื่องมือโอเพ่นซอร์ส 7 รายการสำหรับการตรวจสอบความปลอดภัยของระบบคลาวด์ เครื่องมือเหล่านี้ได้รับการออกแบบมาเพื่อป้องกันแฮกเกอร์และอาชญากรไซเบอร์โดยการตรวจจับความผิดปกติและกิจกรรมที่ไม่ปลอดภัย
1. ออสคิวรี
เป็นระบบสำหรับการตรวจสอบและวิเคราะห์ระบบปฏิบัติการในระดับต่ำที่ช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยดำเนินการขุดข้อมูลที่ซับซ้อนโดยใช้ SQL เฟรมเวิร์ก Osquery สามารถทำงานบน Linux, macOS, Windows และ FreeBSD แสดงถึงระบบปฏิบัติการ (OS) ที่เป็นฐานข้อมูลเชิงสัมพันธ์ประสิทธิภาพสูง ซึ่งช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยสามารถตรวจสอบระบบปฏิบัติการได้โดยการเรียกใช้คำสั่ง SQL ตัวอย่างเช่น เมื่อใช้แบบสอบถาม คุณสามารถค้นหาข้อมูลเกี่ยวกับกระบวนการที่ทำงานอยู่ โมดูลเคอร์เนลที่โหลด การเชื่อมต่อเครือข่ายแบบเปิด ส่วนขยายเบราว์เซอร์ที่ติดตั้ง กิจกรรมของฮาร์ดแวร์ และแฮชของไฟล์
กรอบ Osquery ถูกสร้างขึ้นโดย Facebook รหัสของมันถูกเปิดแหล่งที่มาในปี 2014 หลังจากที่บริษัทตระหนักว่าไม่ใช่แค่ตัวมันเองเท่านั้นที่จำเป็นต้องมีเครื่องมือในการตรวจสอบกลไกระดับต่ำของระบบปฏิบัติการ ตั้งแต่นั้นมา Osquery ก็ถูกใช้โดยผู้เชี่ยวชาญจากบริษัทต่างๆ เช่น Dactiv, Google, Kolide, Trail of Bits, Uptycs และอื่นๆ อีกมากมาย มันเป็นเมื่อเร็ว ๆ นี้ ว่า Linux Foundation และ Facebook กำลังจะจัดตั้งกองทุนเพื่อสนับสนุน Osquery
daemon การตรวจสอบโฮสต์ของ Osquery ที่เรียกว่า osqueryd ช่วยให้คุณสามารถกำหนดเวลาการสืบค้นที่รวบรวมข้อมูลจากทั่วทั้งโครงสร้างพื้นฐานขององค์กรของคุณ daemon รวบรวมผลลัพธ์การสืบค้นและสร้างบันทึกที่สะท้อนถึงการเปลี่ยนแปลงในสถานะของโครงสร้างพื้นฐาน สิ่งนี้สามารถช่วยให้ผู้เชี่ยวชาญด้านความปลอดภัยติดตามสถานะของระบบได้ และมีประโยชน์อย่างยิ่งในการระบุความผิดปกติ ความสามารถในการรวบรวมบันทึกของ Osquery สามารถใช้เพื่อช่วยคุณค้นหามัลแวร์ที่รู้จักและไม่รู้จัก รวมทั้งระบุตำแหน่งที่ผู้โจมตีเข้าสู่ระบบของคุณและค้นหาโปรแกรมที่พวกเขาติดตั้ง อ่านเพิ่มเติมเกี่ยวกับการตรวจจับความผิดปกติโดยใช้ Osquery
2.โกออดิท
ระบบ ประกอบด้วยสององค์ประกอบหลัก อย่างแรกคือโค้ดระดับเคอร์เนลที่ออกแบบมาเพื่อสกัดกั้นและตรวจสอบการโทรของระบบ องค์ประกอบที่สองคือภูตพื้นที่ผู้ใช้ที่เรียกว่า . มีหน้าที่เขียนผลการตรวจสอบลงดิสก์ ซึ่งเป็นระบบที่บริษัทสร้างขึ้น และเปิดตัวในปี 2016 โดยมีวัตถุประสงค์เพื่อทดแทนการตรวจสอบ มีการปรับปรุงความสามารถในการบันทึกโดยการแปลงข้อความเหตุการณ์หลายบรรทัดที่สร้างโดยระบบตรวจสอบ Linux ให้เป็น JSON blobs เดียวเพื่อการวิเคราะห์ที่ง่ายขึ้น ด้วย GoAudit คุณสามารถเข้าถึงกลไกระดับเคอร์เนลได้โดยตรงผ่านเครือข่าย นอกจากนี้ คุณยังสามารถเปิดใช้งานการกรองเหตุการณ์ขั้นต่ำบนโฮสต์ได้ (หรือปิดใช้งานการกรองทั้งหมด) ในเวลาเดียวกัน GoAudit เป็นโครงการที่ออกแบบมาไม่เพียงเพื่อความปลอดภัยเท่านั้น เครื่องมือนี้ได้รับการออกแบบให้เป็นเครื่องมือที่มีคุณสมบัติหลากหลายสำหรับผู้เชี่ยวชาญด้านการสนับสนุนระบบหรือการพัฒนา ช่วยต่อสู้กับปัญหาในโครงสร้างพื้นฐานขนาดใหญ่
ระบบ GoAudit เขียนด้วยภาษา Golang เป็นภาษาที่ปลอดภัยและมีประสิทธิภาพสูง ก่อนติดตั้ง GoAudit โปรดตรวจสอบว่าเวอร์ชัน Golang ของคุณสูงกว่า 1.7
3. กราฟ
โครงการ (Graph Analytics Platform) ถูกย้ายไปยังหมวดหมู่โอเพ่นซอร์สเมื่อเดือนมีนาคมปีที่แล้ว เป็นแพลตฟอร์มที่ค่อนข้างใหม่ในการตรวจจับปัญหาด้านความปลอดภัย ดำเนินการนิติคอมพิวเตอร์ และสร้างรายงานเหตุการณ์ ผู้โจมตีมักจะทำงานโดยใช้แบบจำลองกราฟ เพื่อควบคุมระบบเดียว และสำรวจระบบเครือข่ายอื่นๆ ที่เริ่มต้นจากระบบนั้น ดังนั้นจึงค่อนข้างเป็นธรรมชาติที่ผู้ปกป้องระบบจะใช้กลไกตามแบบจำลองกราฟการเชื่อมต่อของระบบเครือข่ายโดยคำนึงถึงลักษณะเฉพาะของความสัมพันธ์ระหว่างระบบ Grapl แสดงให้เห็นถึงความพยายามในการใช้มาตรการการตรวจจับและตอบสนองต่อเหตุการณ์โดยอิงจากแบบจำลองกราฟมากกว่าแบบจำลองบันทึก
เครื่องมือ Grapl ใช้บันทึกที่เกี่ยวข้องกับความปลอดภัย (บันทึก Sysmon หรือบันทึกในรูปแบบ JSON ปกติ) และแปลงเป็นกราฟย่อย (กำหนด “ข้อมูลประจำตัว” สำหรับแต่ละโหนด) หลังจากนั้นจะรวมกราฟย่อยให้เป็นกราฟทั่วไป (กราฟหลัก) ซึ่งแสดงถึงการดำเนินการที่ทำในสภาพแวดล้อมที่วิเคราะห์ จากนั้น Grapl จะเรียกใช้ตัววิเคราะห์บนกราฟผลลัพธ์โดยใช้ “ลายเซ็นของผู้โจมตี” เพื่อระบุความผิดปกติและรูปแบบที่น่าสงสัย เมื่อเครื่องวิเคราะห์ระบุกราฟย่อยที่น่าสงสัย Grapl จะสร้างโครงสร้างการมีส่วนร่วมที่มีไว้สำหรับการตรวจสอบ Engagement คือคลาส Python ที่สามารถโหลดได้ เช่น ใน Jupyter Notebook ที่ใช้งานในสภาพแวดล้อม AWS นอกจากนี้ Grapl ยังสามารถเพิ่มขนาดของการรวบรวมข้อมูลเพื่อการตรวจสอบเหตุการณ์ผ่านการขยายกราฟ
หากคุณต้องการเข้าใจ Grapl ให้ดีขึ้น คุณสามารถดูได้ วิดีโอที่น่าสนใจ - บันทึกการแสดงจาก Bsides Las Vegas 2019
4. สสส
เป็นโครงการที่ก่อตั้งในปี พ.ศ. 2004 โดยทั่วไปแล้ว โครงการนี้มีลักษณะเป็นแพลตฟอร์มตรวจสอบความปลอดภัยแบบโอเพ่นซอร์สที่ออกแบบมาสำหรับการวิเคราะห์โฮสต์และการตรวจจับการบุกรุก OSSEC มีการดาวน์โหลดมากกว่า 500000 ครั้งต่อปี แพลตฟอร์มนี้ใช้เป็นหลักในการตรวจจับการบุกรุกบนเซิร์ฟเวอร์ นอกจากนี้ เรากำลังพูดถึงทั้งระบบท้องถิ่นและระบบคลาวด์ OSSEC ยังมักใช้เป็นเครื่องมือในการตรวจสอบบันทึกการตรวจสอบและวิเคราะห์ของไฟร์วอลล์ ระบบตรวจจับการบุกรุก เว็บเซิร์ฟเวอร์ และยังใช้สำหรับศึกษาบันทึกการตรวจสอบสิทธิ์อีกด้วย
OSSEC ผสมผสานความสามารถของ Host-Based Intrusion Detection System (HIDS) เข้ากับ Security Incident Management (SIM) และระบบ Security Information and Event Management (SIEM) OSSEC ยังสามารถตรวจสอบความสมบูรณ์ของไฟล์ได้แบบเรียลไทม์ ตัวอย่างเช่น จะตรวจสอบรีจิสทรีของ Windows และตรวจหารูทคิท OSSEC สามารถแจ้งเตือนผู้มีส่วนได้ส่วนเสียเกี่ยวกับปัญหาที่ตรวจพบได้แบบเรียลไทม์ และช่วยตอบสนองต่อภัยคุกคามที่ตรวจพบได้อย่างรวดเร็ว แพลตฟอร์มนี้รองรับ Microsoft Windows และระบบที่คล้าย Unix ที่ทันสมัยที่สุด รวมถึง Linux, FreeBSD, OpenBSD และ Solaris
แพลตฟอร์ม OSSEC ประกอบด้วยหน่วยงานควบคุมส่วนกลาง ซึ่งเป็นผู้จัดการ ซึ่งใช้ในการรับและตรวจสอบข้อมูลจากตัวแทน (โปรแกรมขนาดเล็กที่ติดตั้งบนระบบที่จำเป็นต้องได้รับการตรวจสอบ) ตัวจัดการได้รับการติดตั้งบนระบบ Linux ซึ่งจัดเก็บฐานข้อมูลที่ใช้ในการตรวจสอบความสมบูรณ์ของไฟล์ นอกจากนี้ยังจัดเก็บบันทึกและบันทึกเหตุการณ์และผลการตรวจสอบระบบ
ปัจจุบันโครงการ OSSEC ได้รับการสนับสนุนจาก Atomicorp บริษัทดูแลเวอร์ชันโอเพ่นซอร์สฟรีและยังมีข้อเสนอเพิ่มเติมอีกด้วย ผลิตภัณฑ์เวอร์ชันเชิงพาณิชย์ พอดแคสต์ที่ผู้จัดการโครงการ OSSEC พูดถึงเวอร์ชันล่าสุดของระบบ - OSSEC 3.0 นอกจากนี้ยังพูดถึงประวัติความเป็นมาของโครงการ และความแตกต่างจากระบบเชิงพาณิชย์สมัยใหม่ที่ใช้ในด้านความปลอดภัยคอมพิวเตอร์
5. เมียร์แคต
เป็นโครงการโอเพ่นซอร์สที่เน้นการแก้ปัญหาหลักของความปลอดภัยของคอมพิวเตอร์ โดยเฉพาะอย่างยิ่งมันประกอบไปด้วยระบบตรวจจับการบุกรุก ระบบป้องกันการบุกรุกและเครื่องมือตรวจสอบความปลอดภัยเครือข่าย
ผลิตภัณฑ์นี้ปรากฏในปี 2009 งานของเขาเป็นไปตามกฎเกณฑ์ นั่นคือผู้ที่ใช้งานมีโอกาสที่จะอธิบายคุณสมบัติบางอย่างของการรับส่งข้อมูลเครือข่าย หากกฎถูกทริกเกอร์ Suricata จะสร้างการแจ้งเตือน บล็อคหรือยุติการเชื่อมต่อที่น่าสงสัย ซึ่งขึ้นอยู่กับกฎที่ระบุอีกครั้ง โครงการนี้ยังรองรับการทำงานแบบมัลติเธรด ทำให้สามารถประมวลผลกฎจำนวนมากในเครือข่ายที่มีการรับส่งข้อมูลจำนวนมากได้อย่างรวดเร็ว ด้วยการรองรับแบบมัลติเธรด เซิร์ฟเวอร์ทั่วไปจึงสามารถวิเคราะห์การรับส่งข้อมูลที่เดินทางด้วยความเร็ว 10 Gbit/s ได้สำเร็จ ในกรณีนี้ ผู้ดูแลระบบไม่จำเป็นต้องจำกัดชุดกฎที่ใช้ในการวิเคราะห์การรับส่งข้อมูล Suricata ยังรองรับการแฮชและการดึงไฟล์
Suricata สามารถกำหนดค่าให้ทำงานบนเซิร์ฟเวอร์ปกติหรือบนเครื่องเสมือน เช่น AWS โดยใช้คุณสมบัติที่เพิ่งเปิดตัวในผลิตภัณฑ์ .
โปรเจ็กต์นี้รองรับสคริปต์ Lua ซึ่งสามารถใช้เพื่อสร้างตรรกะที่ซับซ้อนและมีรายละเอียดสำหรับการวิเคราะห์ลายเซ็นภัยคุกคาม
โครงการ Suricata ได้รับการจัดการโดย Open Information Security Foundation (OISF)
6. ซีค (พี่ชาย)
เช่นเดียวกับสุริกาตา (โปรเจ็กต์นี้เดิมเรียกว่า Bro และเปลี่ยนชื่อเป็น Zeek ในงาน BroCon 2018) ยังเป็นระบบตรวจจับการบุกรุกและเครื่องมือตรวจสอบความปลอดภัยเครือข่ายที่สามารถตรวจจับความผิดปกติ เช่น กิจกรรมที่น่าสงสัยหรือเป็นอันตราย Zeek แตกต่างจาก IDS แบบดั้งเดิมตรงที่ Zeek ยังเก็บข้อมูลเมตาที่เกี่ยวข้องกับสิ่งที่เกิดขึ้นบนเครือข่าย ไม่เหมือนกับระบบที่ใช้กฎซึ่งตรวจจับข้อยกเว้น การทำเช่นนี้เพื่อให้เข้าใจบริบทของพฤติกรรมที่ผิดปกติของเครือข่ายได้ดีขึ้น ซึ่งจะช่วยให้ ตัวอย่างเช่น โดยการวิเคราะห์การเรียก HTTP หรือขั้นตอนในการแลกเปลี่ยนใบรับรองความปลอดภัย เพื่อดูโปรโตคอล ที่ส่วนหัวของแพ็กเก็ต ที่ชื่อโดเมน
หากเราถือว่า Zeek เป็นเครื่องมือรักษาความปลอดภัยเครือข่าย เราก็สามารถพูดได้ว่าสิ่งนี้เปิดโอกาสให้ผู้เชี่ยวชาญตรวจสอบเหตุการณ์โดยการเรียนรู้เกี่ยวกับสิ่งที่เกิดขึ้นก่อนหรือระหว่างเหตุการณ์ Zeek ยังแปลงข้อมูลการรับส่งข้อมูลเครือข่ายให้เป็นเหตุการณ์ระดับสูงและให้ความสามารถในการทำงานร่วมกับล่ามสคริปต์ ล่ามสนับสนุนภาษาการเขียนโปรแกรมที่ใช้ในการโต้ตอบกับเหตุการณ์และเพื่อค้นหาว่าเหตุการณ์เหล่านั้นมีความหมายอย่างไรในแง่ของความปลอดภัยของเครือข่าย ภาษาการเขียนโปรแกรม Zeek สามารถใช้เพื่อปรับแต่งวิธีการตีความข้อมูลเมตาให้เหมาะกับความต้องการขององค์กรเฉพาะ ช่วยให้คุณสร้างเงื่อนไขตรรกะที่ซับซ้อนได้โดยใช้ตัวดำเนินการ AND, OR และ NOT สิ่งนี้ทำให้ผู้ใช้สามารถกำหนดวิธีวิเคราะห์สภาพแวดล้อมของตนได้ อย่างไรก็ตาม ควรสังเกตว่าเมื่อเปรียบเทียบกับ Suricata แล้ว Zeek อาจดูเหมือนเป็นเครื่องมือที่ค่อนข้างซับซ้อนเมื่อทำการลาดตระเวนภัยคุกคามความปลอดภัย
หากสนใจรายละเอียดเพิ่มเติมเกี่ยวกับ Zeek กรุณาติดต่อ วีดีโอ
7. เสือดำ
เป็นแพลตฟอร์มคลาวด์เนทิฟที่ทรงพลังสำหรับการตรวจสอบความปลอดภัยอย่างต่อเนื่อง เพิ่งถูกโอนไปยังหมวดหมู่โอเพ่นซอร์ส สถาปนิกหลักคือต้นทางของโครงการ — โซลูชั่นสำหรับการวิเคราะห์บันทึกอัตโนมัติ ซึ่งเป็นรหัสที่ Airbnb เปิดขึ้นมา Panther มอบระบบเดียวให้ผู้ใช้ในการตรวจจับภัยคุกคามจากส่วนกลางในทุกสภาพแวดล้อมและจัดการการตอบสนองต่อภัยคุกคามเหล่านั้น ระบบนี้มีความสามารถในการเติบโตไปพร้อมกับขนาดของโครงสร้างพื้นฐานที่ให้บริการ การตรวจจับภัยคุกคามเป็นไปตามกฎที่กำหนดอย่างโปร่งใส เพื่อลดผลบวกลวงและภาระงานที่ไม่จำเป็นสำหรับผู้เชี่ยวชาญด้านความปลอดภัย
คุณสมบัติหลักของ Panther มีดังต่อไปนี้:
- การตรวจจับการเข้าถึงทรัพยากรโดยไม่ได้รับอนุญาตโดยการวิเคราะห์บันทึก
- การตรวจจับภัยคุกคาม ดำเนินการโดยการค้นหาบันทึกสำหรับตัวบ่งชี้ที่บ่งบอกถึงปัญหาด้านความปลอดภัย การค้นหาดำเนินการโดยใช้ช่องข้อมูลมาตรฐานของ Panter
- การตรวจสอบระบบว่าเป็นไปตามมาตรฐาน SOC/PCI/HIPAA โดยใช้ กลไกเสือดำ
- ปกป้องทรัพยากรคลาวด์ของคุณโดยแก้ไขข้อผิดพลาดในการกำหนดค่าโดยอัตโนมัติซึ่งอาจทำให้เกิดปัญหาร้ายแรงหากถูกโจมตีโดยผู้โจมตี
Panther ได้รับการปรับใช้บน AWS cloud ขององค์กรโดยใช้ AWS CloudFormation สิ่งนี้ทำให้ผู้ใช้สามารถควบคุมข้อมูลของเขาได้ตลอดเวลา
ผลของการ
การตรวจสอบความปลอดภัยของระบบถือเป็นงานที่สำคัญในปัจจุบัน ในการแก้ปัญหานี้ บริษัททุกขนาดสามารถช่วยได้โดยเครื่องมือโอเพ่นซอร์สที่ให้โอกาสมากมายและแทบไม่ต้องเสียค่าใช้จ่ายใดๆ หรือไม่มีค่าใช้จ่ายใดๆ เลย
เรียนผู้อ่าน! คุณใช้เครื่องมือตรวจสอบความปลอดภัยอะไรบ้าง?
ที่มา: will.com