Ang malawakang paggamit ng cloud computing ay tumutulong sa mga kumpanya na palakihin ang kanilang negosyo. Ngunit ang paggamit ng mga bagong platform ay nangangahulugan din ng paglitaw ng mga bagong banta. Ang pagpapanatili ng iyong sariling koponan sa loob ng isang organisasyong responsable sa pagsubaybay sa seguridad ng mga serbisyo sa cloud ay hindi isang madaling gawain. Ang mga kasalukuyang tool sa pagsubaybay ay mahal at mabagal. Ang mga ito, sa ilang lawak, ay mahirap pangasiwaan pagdating sa pag-secure ng malakihang imprastraktura ng ulap. Upang mapanatili ang kanilang seguridad sa ulap sa isang mataas na antas, ang mga kumpanya ay nangangailangan ng makapangyarihan, nababaluktot, at madaling maunawaan na mga tool na higit pa sa kung ano ang dating magagamit. Dito nagagamit ang mga open source na teknolohiya, na tumutulong na makatipid ng mga badyet sa seguridad at nilikha ng mga espesyalista na maraming alam tungkol sa kanilang negosyo.
Ang artikulo, ang pagsasalin na ipina-publish namin ngayon, ay nagbibigay ng pangkalahatang-ideya ng 7 open source na tool para sa pagsubaybay sa seguridad ng mga cloud system. Ang mga tool na ito ay idinisenyo upang maprotektahan laban sa mga hacker at cybercriminal sa pamamagitan ng pagtukoy ng mga anomalya at hindi ligtas na aktibidad.
1. Osquery
ay isang sistema para sa mababang antas ng pagsubaybay at pagsusuri ng mga operating system na nagpapahintulot sa mga propesyonal sa seguridad na magsagawa ng kumplikadong data mining gamit ang SQL. Maaaring tumakbo ang Osquery framework sa Linux, macOS, Windows at FreeBSD. Kinakatawan nito ang operating system (OS) bilang isang high-performance relational database. Nagbibigay-daan ito sa mga espesyalista sa seguridad na suriin ang OS sa pamamagitan ng pagpapatakbo ng mga query sa SQL. Halimbawa, gamit ang isang query, maaari mong malaman ang tungkol sa pagpapatakbo ng mga proseso, na-load na mga kernel module, bukas na mga koneksyon sa network, naka-install na mga extension ng browser, mga kaganapan sa hardware, at mga hash ng file.
Ang Osquery framework ay nilikha ng Facebook. Ang code nito ay open sourced noong 2014, matapos mapagtanto ng kumpanya na hindi lang ang sarili nito ang nangangailangan ng mga tool upang masubaybayan ang mababang antas ng mga mekanismo ng mga operating system. Simula noon, ang Osquery ay ginamit ng mga espesyalista mula sa mga kumpanya tulad ng Dactiv, Google, Kolide, Trail of Bits, Uptycs, at marami pang iba. Ito ay kamakailan lamang na ang Linux Foundation at Facebook ay bubuo ng isang pondo para suportahan ang Osquery.
Nagbibigay-daan sa iyo ang host monitoring daemon ng Osquery, na tinatawag na osqueryd, na mag-iskedyul ng mga query na nangongolekta ng data mula sa buong imprastraktura ng iyong organisasyon. Kinokolekta ng daemon ang mga resulta ng query at gumagawa ng mga log na nagpapakita ng mga pagbabago sa estado ng imprastraktura. Makakatulong ito sa mga propesyonal sa seguridad na manatiling nakasubaybay sa katayuan ng system at lalong kapaki-pakinabang para sa pagtukoy ng mga anomalya. Maaaring gamitin ang mga kakayahan sa pagsasama-sama ng log ng Osquery upang matulungan kang mahanap ang kilala at hindi kilalang malware, pati na rin tukuyin kung saan nakapasok ang mga umaatake sa iyong system at hanapin kung anong mga program ang kanilang na-install. Magbasa pa tungkol sa pagtuklas ng anomalya gamit ang Osquery.
2.GoAudit
Sistema ay binubuo ng dalawang pangunahing sangkap. Ang una ay ilang code sa antas ng kernel na idinisenyo upang harangin at subaybayan ang mga tawag sa system. Ang pangalawang bahagi ay isang user space daemon na tinatawag . Responsable ito sa pagsulat ng mga resulta ng pag-audit sa disk. , isang sistemang nilikha ng kumpanya at inilabas noong 2016, na nilayon upang palitan ang auditd. Pinahusay nito ang mga kakayahan sa pag-log sa pamamagitan ng pag-convert ng mga multi-line na mensahe ng kaganapan na nabuo ng Linux auditing system sa iisang JSON blobs para sa mas madaling pagsusuri. Sa GoAudit, maaari mong direktang ma-access ang mga mekanismo sa antas ng kernel sa network. Bilang karagdagan, maaari mong paganahin ang kaunting pag-filter ng kaganapan sa mismong host (o ganap na huwag paganahin ang pag-filter). Kasabay nito, ang GoAudit ay isang proyektong idinisenyo hindi lamang upang matiyak ang seguridad. Ang tool na ito ay idinisenyo bilang isang tool na mayaman sa tampok para sa suporta sa system o mga propesyonal sa pag-unlad. Nakakatulong ito na labanan ang mga problema sa malalaking imprastraktura.
Ang GoAudit system ay nakasulat sa Golang. Ito ay isang uri-safe at mataas na pagganap ng wika. Bago i-install ang GoAudit, tingnan kung mas mataas sa 1.7 ang iyong bersyon ng Golang.
3. Grapl
Proyekto (Graph Analytics Platform) ay inilipat sa open source na kategorya noong Marso noong nakaraang taon. Ito ay medyo bagong platform para sa pag-detect ng mga isyu sa seguridad, pagsasagawa ng computer forensics, at pagbuo ng mga ulat ng insidente. Ang mga umaatake ay madalas na nagtatrabaho gamit ang isang bagay tulad ng isang modelo ng graph, pagkakaroon ng kontrol sa isang solong sistema at paggalugad ng iba pang mga network system simula sa system na iyon. Samakatuwid, medyo natural na ang mga tagapagtanggol ng system ay gagamit din ng isang mekanismo batay sa isang modelo ng isang graph ng mga koneksyon ng mga sistema ng network, na isinasaalang-alang ang mga kakaiba ng mga relasyon sa pagitan ng mga system. Nagpapakita ang Grapl ng pagtatangkang ipatupad ang pagtuklas ng insidente at mga hakbang sa pagtugon batay sa isang modelo ng graph sa halip na isang modelo ng log.
Kinukuha ng Grapl tool ang mga log na nauugnay sa seguridad (mga log ng Sysmon o mga log sa regular na JSON na format) at kino-convert ang mga ito sa mga subgraph (tumutukoy ng "pagkakakilanlan" para sa bawat node). Pagkatapos nito, pinagsasama nito ang mga subgraph sa isang karaniwang graph (Master Graph), na kumakatawan sa mga pagkilos na ginawa sa mga nasuri na kapaligiran. Pagkatapos ay pinapatakbo ng Grapl ang Mga Analyzer sa nagreresultang graph gamit ang "mga lagda ng attacker" upang matukoy ang mga anomalya at kahina-hinalang pattern. Kapag natukoy ng analyzer ang isang kahina-hinalang subgraph, bubuo ang Grapl ng construct ng Engagement na nilayon para sa pagsisiyasat. Ang pakikipag-ugnayan ay isang Python class na maaaring i-load, halimbawa, sa isang Jupyter Notebook na naka-deploy sa AWS environment. Ang Grapl, bilang karagdagan, ay maaaring pataasin ang sukat ng pangongolekta ng impormasyon para sa pagsisiyasat ng insidente sa pamamagitan ng pagpapalawak ng graph.
Kung gusto mong mas maunawaan ang Grapl, maaari mong tingnan kagiliw-giliw na video - pag-record ng isang pagganap mula sa BSides Las Vegas 2019.
4. OSSEC
ay isang proyekto na itinatag noong 2004. Ang proyektong ito, sa pangkalahatan, ay maaaring ilarawan bilang isang open-source na platform ng pagsubaybay sa seguridad na idinisenyo para sa pagsusuri ng host at pag-detect ng panghihimasok. Ang OSSEC ay dina-download ng higit sa 500000 beses bawat taon. Ang platform na ito ay pangunahing ginagamit bilang isang paraan ng pag-detect ng mga panghihimasok sa mga server. Bukod dito, pinag-uusapan natin ang parehong lokal at cloud system. Ang OSSEC ay madalas ding ginagamit bilang isang tool para sa pagsusuri ng mga monitoring at analysis log ng mga firewall, intrusion detection system, web server, at para din sa pag-aaral ng mga log ng pagpapatunay.
Pinagsasama ng OSSEC ang mga kakayahan ng isang Host-Based Intrusion Detection System (HIDS) sa isang Security Incident Management (SIM) at Security Information and Event Management (SIEM) system. . Maaari ding subaybayan ng OSSEC ang integridad ng file sa real time. Ito, halimbawa, ay sinusubaybayan ang Windows registry at nakita ang mga rootkit. Nagagawa ng OSSEC na ipaalam sa mga stakeholder ang tungkol sa mga natukoy na problema sa real time at tumutulong upang mabilis na tumugon sa mga natukoy na banta. Sinusuportahan ng platform na ito ang Microsoft Windows at karamihan sa mga modernong sistemang katulad ng Unix, kabilang ang Linux, FreeBSD, OpenBSD at Solaris.
Ang OSSEC platform ay binubuo ng isang central control entity, isang manager, na ginagamit upang tumanggap at magmonitor ng impormasyon mula sa mga ahente (maliit na program na naka-install sa mga system na kailangang subaybayan). Ang manager ay naka-install sa isang Linux system, na nag-iimbak ng isang database na ginamit upang suriin ang integridad ng mga file. Nag-iimbak din ito ng mga log at talaan ng mga kaganapan at resulta ng pag-audit ng system.
Ang proyekto ng OSSEC ay kasalukuyang sinusuportahan ng Atomicorp. Ang kumpanya ay nangangasiwa sa isang libreng open source na bersyon, at, bilang karagdagan, ay nag-aalok komersyal na bersyon ng produkto. podcast kung saan ang tagapamahala ng proyekto ng OSSEC ay nagsasalita tungkol sa pinakabagong bersyon ng system - OSSEC 3.0. Pinag-uusapan din nito ang kasaysayan ng proyekto, at kung paano ito naiiba sa mga modernong komersyal na sistema na ginagamit sa larangan ng seguridad ng computer.
5. meerkat
ay isang open source na proyekto na nakatuon sa paglutas ng mga pangunahing problema ng seguridad ng computer. Sa partikular, kabilang dito ang isang intrusion detection system, isang intrusion prevention system, at isang network security monitoring tool.
Ang produktong ito ay lumitaw noong 2009. Ang kanyang trabaho ay batay sa mga patakaran. Iyon ay, ang gumagamit nito ay may pagkakataon na ilarawan ang ilang mga tampok ng trapiko sa network. Kung ma-trigger ang panuntunan, bubuo ang Suricata ng notification, pagba-block o pagwawakas sa kahina-hinalang koneksyon, na, muli, ay nakasalalay sa mga tinukoy na panuntunan. Sinusuportahan din ng proyekto ang multi-threaded na operasyon. Ginagawa nitong posible na mabilis na maproseso ang isang malaking bilang ng mga panuntunan sa mga network na nagdadala ng malalaking volume ng trapiko. Salamat sa suporta sa multi-threading, matagumpay na nasusuri ng isang ganap na ordinaryong server ang trapikong naglalakbay sa bilis na 10 Gbit/s. Sa kasong ito, hindi kailangang limitahan ng administrator ang hanay ng mga panuntunang ginagamit para sa pagsusuri ng trapiko. Sinusuportahan din ng Suricata ang pag-hash at pagkuha ng file.
Maaaring i-configure ang Suricata na tumakbo sa mga regular na server o sa mga virtual machine, gaya ng AWS, gamit ang isang kamakailang ipinakilalang feature sa produkto .
Sinusuportahan ng proyekto ang mga script ng Lua, na maaaring magamit upang lumikha ng kumplikado at detalyadong lohika para sa pagsusuri ng mga lagda ng pagbabanta.
Ang proyekto ng Suricata ay pinamamahalaan ng Open Information Security Foundation (OISF).
6. Zeek (Bro)
Tulad ng Suricata, (ang proyektong ito ay dating tinatawag na Bro at pinalitan ng pangalan na Zeek sa BroCon 2018) ay isa ring intrusion detection system at network security monitoring tool na maaaring makakita ng mga anomalya gaya ng kahina-hinala o mapanganib na aktibidad. Naiiba ang Zeek sa mga tradisyunal na IDS dahil dito, hindi tulad ng mga sistemang nakabatay sa panuntunan na nakakatuklas ng mga pagbubukod, nakukuha rin ni Zeek ang metadata na nauugnay sa kung ano ang nangyayari sa network. Ginagawa ito upang mas maunawaan ang konteksto ng hindi pangkaraniwang pag-uugali ng network. Ito ay nagbibigay-daan, halimbawa, sa pamamagitan ng pagsusuri ng isang HTTP na tawag o ang pamamaraan para sa pagpapalitan ng mga sertipiko ng seguridad, upang tingnan ang protocol, sa mga packet header, sa mga domain name.
Kung isasaalang-alang namin ang Zeek bilang isang tool sa seguridad ng network, maaari naming sabihin na nagbibigay ito ng pagkakataon sa isang espesyalista na mag-imbestiga ng isang insidente sa pamamagitan ng pag-aaral tungkol sa kung ano ang nangyari bago o sa panahon ng insidente. Ang Zeek ay nagko-convert din ng data ng trapiko sa network sa mga high-level na kaganapan at nagbibigay ng kakayahang magtrabaho kasama ang isang script interpreter. Sinusuportahan ng interpreter ang isang programming language na ginagamit upang makipag-ugnayan sa mga kaganapan at upang malaman kung ano ang eksaktong ibig sabihin ng mga kaganapang iyon sa mga tuntunin ng seguridad ng network. Maaaring gamitin ang Zeek programming language upang i-customize kung paano binibigyang-kahulugan ang metadata upang umangkop sa mga pangangailangan ng isang partikular na organisasyon. Pinapayagan ka nitong bumuo ng mga kumplikadong lohikal na kondisyon gamit ang AND, OR at NOT operator. Nagbibigay ito sa mga user ng kakayahang i-customize kung paano sinusuri ang kanilang mga kapaligiran. Gayunpaman, dapat tandaan na, kung ihahambing sa Suricata, ang Zeek ay maaaring mukhang isang medyo kumplikadong tool kapag nagsasagawa ng reconnaissance ng banta sa seguridad.
Kung interesado ka sa higit pang mga detalye tungkol kay Zeek, mangyaring makipag-ugnayan video.
7. Panther
ay isang malakas, native na cloud-native na platform para sa patuloy na pagsubaybay sa seguridad. Kamakailan ay inilipat ito sa open source na kategorya. Ang pangunahing arkitekto ay nasa pinagmulan ng proyekto β mga solusyon para sa automated log analysis, ang code na binuksan ng Airbnb. Binibigyan ng Panther ang user ng isang sistema para sa sentral na pag-detect ng mga banta sa lahat ng kapaligiran at pag-aayos ng tugon sa mga ito. Ang sistemang ito ay may kakayahang lumago kasabay ng laki ng imprastraktura na pinaglilingkuran. Ang pagtuklas ng pagbabanta ay batay sa malinaw, tiyak na mga panuntunan upang mabawasan ang mga maling positibo at hindi kinakailangang workload para sa mga propesyonal sa seguridad.
Kabilang sa mga pangunahing tampok ng Panther ay ang mga sumusunod:
- Ang pagtuklas ng hindi awtorisadong pag-access sa mga mapagkukunan sa pamamagitan ng pagsusuri sa mga log.
- Pagtukoy sa pagbabanta, ipinatupad sa pamamagitan ng paghahanap sa mga log para sa mga tagapagpahiwatig na nagpapahiwatig ng mga problema sa seguridad. Isinasagawa ang paghahanap gamit ang standardized data field ng Panter.
- Sinusuri ang system para sa pagsunod sa mga pamantayan ng SOC/PCI/HIPAA gamit Mga mekanismo ng panther.
- Protektahan ang iyong mga mapagkukunan ng ulap sa pamamagitan ng awtomatikong pagwawasto ng mga error sa pagsasaayos na maaaring magdulot ng malubhang problema kung pinagsamantalahan ng mga umaatake.
Na-deploy ang Panther sa AWS cloud ng isang organisasyon gamit ang AWS CloudFormation. Nagbibigay-daan ito sa user na palaging kontrolin ang kanyang data.
Mga resulta ng
Ang pagsubaybay sa seguridad ng system ay isang kritikal na gawain sa mga araw na ito. Sa paglutas ng problemang ito, ang mga kumpanya sa anumang laki ay maaaring matulungan ng mga open source na tool na nagbibigay ng maraming pagkakataon at halos walang gastos o libre.
Minamahal na mambabasa! Anong mga tool sa pagsubaybay sa seguridad ang ginagamit mo?
Pinagmulan: www.habr.com