Широке поширення хмарних обчислень допомагає компаніям у масштабуванні бізнесу. Але застосування нових платформ означає появу нових загроз. Підтримка всередині організації власної команди, яка відповідає за моніторинг безпеки хмарних служб, ця справа непроста. Існуючі інструменти моніторингу дороги та повільні. Ними, певною мірою, важко управляти в тому випадку, якщо потрібно забезпечити безпеку великомасштабної хмарної інфраструктури. Компаніям, щоб підтримувати свою хмарну безпеку на високому рівні, потрібні потужні, гнучкі та зрозумілі інструменти, можливості яких перевищують можливості того, що було доступно раніше. Саме тут виявляються дуже доречними опенсорсні технології, які допомагають економити бюджети на безпеку і створюються силами фахівців, які розуміються на своїй справі.
У статті, переклад якої ми сьогодні публікуємо, наведено огляд 7 опенсорсних інструментів для моніторингу безпеки хмарних систем. Ці інструменти призначені для захисту від хакерів та кіберзлочинців шляхом детектування аномалій та небезпечних дій.
1. Osquery
— це система для низькорівневого моніторингу та аналізу операційних систем, яка дозволяє фахівцям у галузі безпеки проводити складні дослідження даних із використанням SQL. Фреймворк Osquery може працювати на Linux, MacOS, Windows і FreeBSD. Він представляє операційну систему (ОС) як високопродуктивної реляційної бази даних. Це дозволяє фахівцям із безпеки досліджувати ОС шляхом виконання SQL-запитів. Наприклад, за допомогою запиту можна дізнатися про виконувані процеси, про завантажені модулі ядра, про відкриті мережеві з'єднання, про встановлені розширення браузера, про апаратні події, про хеш-суми файлів.
Фреймворк Osquery створено Facebook. Його код було відкрито у 2014 році, після того, як компанія зрозуміла, що інструментів для спостереження за низькорівневими механізмами операційних систем потребує не тільки вона сама. З того часу Osquery користуються фахівці з таких компаній, як Dactiv, Google, Kolide, Trail of Bits, Uptycs та з багатьох інших. Нещодавно було про те, що Linux Foundation та Facebook збираються сформувати фонд підтримки Osquery.
Демон моніторингу хостів Osquery, що називається osqueryd, дозволяє планувати виконання запитів, спрямованих на збір даних з усієї інфраструктури організації. Демон збирає результати запитів та створює журнали, що відображають зміну стану інфраструктури. Це може допомогти фахівцям з безпеки знати стан справ у системі і особливо корисно для виявлення аномалій. Можливості Osquery з агрегації журналів можна використовувати для полегшення пошуку відомих та невідомих шкідливих програм, а також для виявлення місць проникнення зловмисників у систему та для пошуку встановлених ними програм. матеріал, де можна знайти подробиці про виявлення аномалій за допомогою Osquery.
2. GoAudit
Система і двох основних компонентів. Перший — це код рівня ядра, призначений для перехоплення та моніторингу системних викликів. Другий компонент — це демон, що працює в просторі користувача, званий . Він відповідає за запис на диск результатів аудиту. , система, створена компанією та випущена у 2016 році, призначена для заміни auditd. Вона має покращені можливості логування завдяки тому, що конвертує багаторядкові повідомлення про події, що генеруються системою аудиту Linux, в єдині BLOB-об'єкти JSON, що спрощує аналіз. Завдяки GoAudit можна безпосередньо звертатися до механізмів рівня ядра по мережі. Крім того, можна увімкнути мінімальну фільтрацію подій на самому хості (або повністю відключити фільтрацію). При цьому GoAudit – це проект, розрахований не лише на безпеку. Цей інструмент задуманий як багатофункціональний засіб для фахівців, які займаються підтримкою систем чи розробкою. Він допомагає боротися із проблемами у великомасштабних інфраструктурах.
Система GoAudit написана на Golang. Це — типобезпечна та високопродуктивна мова. Перед встановленням GoAudit перевірте, щоб наявна у вас версія Golang була б вищою за 1.7.
3. Grapl
Проект (Graph Analytics Platform) було переведено до розряду опенсорсних у березні минулого року. Це порівняно нова платформа для виявлення проблем з безпекою, для проведення комп'ютерної криміналістичної експертизи та для формування звітів про події. Атакуючі часто працюють, користуючись чимось подібним до моделі графа, отримуючи контроль над якоюсь окремою системою і займаючись дослідженням інших мережевих систем, починаючи з цієї системи. Тому цілком природно те, що і захисники систем використовуватимуть механізм, заснований на моделі графа зв'язків мережевих систем, що враховує особливості відносин між системами. Grapl демонструє спробу застосування заходів щодо виявлення інцидентів та реагування на них, ґрунтуючись на моделі графа, а не на моделі журналу.
Інструмент Grapl приймає журнали, що стосуються безпеки (логи Sysmon або логи у звичайному форматі JSON) та конвертує їх у підграфи (визначаючи «ідентифікаційну інформацію» для кожного вузла). Після цього він об'єднує підграфи в загальний граф (Master Graph), який є діями, виконаними в аналізованих оточеннях. Потім Grapl запускає на отриманому графі аналізатори (Analyzers) з використанням "сигнатур атакуючого" для виявлення аномалій та підозрілих патернів. Коли аналізатор виявляє підозрілу підграфу, Grapl генерує конструкт Engagement, призначений для проведення розслідувань. Engagement — це Python-клас, який можна завантажити, наприклад, Jupyter Notebook, розгорнутий в середовищі AWS. Крім того, Grapl вміє збільшувати масштаби збору інформації для розслідування інциденту через розширення графа.
Якщо ви хочете краще розібратися з Grapl – можете подивитися цікаве відео – запис виступу з BSides Las Vegas 2019.
4. OSSEC
- Це проект, заснований у 2004 році. Цей проект загалом можна охарактеризувати як опенсорсну платформу моніторингу безпеки, розраховану на аналіз хостів та на виявлення вторгнень. У рік OSSEC завантажують понад 500000 XNUMX разів. Цю платформу використовують переважно як засіб виявлення вторгнень на сервери. Причому йдеться як про локальні, так і про хмарні системи. OSSEC, крім того, часто використовують як інструмент для дослідження журналів моніторингу та аналізу файрволів, систем виявлення вторгнень, веб-серверів, а також вивчення журналів аутентифікації.
OSSEC комбінує можливості хостової системи виявлення вторгнень (HIDS, Host-Based Intrusion Detection System) з системою управління інцидентами у сфері безпеки (SIM, Security Incident Management) та системою управління інформацією про безпеку та події безпеки (SIEM, Security Information and Event Management) . OSSEC, крім того, вміє виконувати моніторинг цілісності файлів у реальному часі. Це, наприклад, моніторинг реєстру Windows, виявлення руткітів. OSSEC вміє сповіщати зацікавлених осіб про виявлені проблеми у режимі реального часу та допомагає оперативно реагувати на знайдені загрози. Ця платформа підтримує Microsoft Windows та більшість сучасних Unix-подібних систем, включаючи Linux, FreeBSD, OpenBSD та Solaris.
Платформа OSSEC складається з центральної керуючої сутності, менеджера, що використовується для отримання та моніторингу інформації від агентів (маленьких програм, встановлених у системах, які треба моніторити). Менеджер встановлюється на Linux-системі, яка зберігає базу даних, що використовується для перевірки цілісності файлів. Вона, крім того, зберігає журнали та записи про події та про результати аудиту систем.
Підтримкою проекту OSSEC зараз займається компанія Atomicorp. Компанія займається безкоштовною опенсорною версією, і, крім того, пропонує комерційну версію товару. подкаст, в якому менеджер проекту OSSEC розповідає про нову версію системи - OSSEC 3.0. Там йдеться про історію проекту, і про те, чим він відрізняється від сучасних комерційних систем, що використовуються в сфері комп'ютерної безпеки.
5. Сурикат
— це опенсорсний проект, орієнтований вирішення основних завдань забезпечення комп'ютерної безпеки. Зокрема, до його складу входить система виявлення вторгнень, система запобігання вторгненням, інструмент моніторингу мережевої безпеки.
Цей продукт з'явився у 2009 році. Його робота ґрунтується на правилах. Тобто — той, хто ним користується, має можливість описати деякі особливості мережевого трафіку. Якщо правило спрацьовує, Suricata генерує повідомлення, блокуючи або розриваючи підозріле з'єднання, що, знову ж таки, залежить від заданих правил. Проект також підтримує роботу в багатопоточному режимі. Це дає можливість швидкої обробки великої кількості правил у мережах, якими проходять великі обсяги трафіку. Завдяки підтримці багатопоточності звичайний сервер здатний успішно аналізувати трафік, що йде на швидкості в 10 Гбіт/с. При цьому адміністратору не доводиться обмежувати набір правил, що використовуються для аналізу трафіку. Suricata, крім того, підтримує хешування та вилучення файлів.
Suricata можна налаштувати в розрахунку на роботу на звичайних серверах або на віртуальних машинах, наприклад, в AWS, з використанням можливості, що недавно з'явилася в продукті .
Проект підтримує Lua-скрипти, за допомогою яких можна створювати складну та деталізовану логіку аналізу сигнатур загроз.
Проектом Suricata займається Open Information Security Foundation (OISF).
6. Zeek (Bro)
Як і Suricata, (цей проект раніше називався Bro і був перейменований у Zeek на заході BroCon 2018) — це теж система для виявлення вторгнень та інструмент для моніторингу мережевої безпеки, який може виявляти аномалії, такі як підозрілі чи небезпечні дії. Zeek відрізняється від традиційних IDS тим, що, на відміну від систем, заснованих на правилах, що виявляють винятки, Zeek ще й захоплює метадані, пов'язані з тим, що відбувається в мережі. Робиться це для того, щоб краще зрозуміти контекст незвичайної мережевої поведінки. Це дозволяє, наприклад, аналізуючи HTTP-дзвінок або процедуру обміну сертифікатами безпеки, поглянути на протокол, заголовки пакетів, доменні імена.
Якщо розглядати Zeek як інструмент мережевої безпеки, то можна сказати, що він дає фахівцю можливість провести розслідування події, дізнавшись про те, що сталося до і під час інциденту. Zeek, крім того, конвертує дані про мережевий трафік у високорівневі події та дає можливість працювати з інтерпретатором скриптів. Інтерпретатор підтримує мову програмування, що використовується для організації взаємодії з подіями та для з'ясування того, що саме означають ці події у плані мережевої безпеки. Мова програмування Zeek може використовуватися для настроювання інтерпретації метаданих так, як потрібно конкретної організації. Він дозволяє будувати складні логічні умови з використанням операторів AND, OR та NOT. Це дозволяє користувачам налаштовувати процедуру аналізу їх оточення. Щоправда, треба зазначити, що порівняно з Suricata, Zeek може здатися досить складним інструментом при проведенні розвідки загроз безпеці.
Якщо вас цікавлять подробиці про Zeek — зверніться до відео.
7. Пантера
- Це потужна, спочатку орієнтована на роботу в хмарі платформа для організації безперервного моніторингу безпеки. Вона була переведена до розряду опенсорсних нещодавно. Біля витоків проекту стоїть основний архітектор - Рішення для автоматизованого аналізу журналів, код якого відкрила компанія Airbnb. Panther дає користувачеві єдину систему для централізованого виявлення загроз у всіх оточеннях та організації реакції на них. Ця система здатна зростати разом з розміром інфраструктури, що обслуговується. Виявлення загроз організовано за допомогою прозорих детерміністичних правил, що зроблено для того, щоб знизити відсоток хибнопозитивних спрацьовувань та знизити рівень непотрібного навантаження на фахівців з безпеки.
Серед основних можливостей Panther можна назвати такі:
- Виявлення неавторизованого доступу до ресурсів шляхом аналізу журналів.
- Пошук загроз, реалізований через пошук у журналах показників, що вказують на проблеми безпеки. Пошук проводиться за допомогою стандартизованих полів даних Panter.
- Перевірка системи на відповідність стандартам SOC/PCI/HIPAA з використанням механізмів Panther.
- Захист хмарних ресурсів завдяки автоматичному виправленню помилок у конфігуруванні, які, якщо ними скористаються зловмисники, можуть призвести до серйозних проблем.
Panther розгортається в AWS-хмарі організації за допомогою AWS CloudFormation. Це дозволяє користувачеві завжди контролювати його дані.
Підсумки
Моніторинг безпеки систем - це, в наші дні, найважливіше завдання. У вирішенні цього завдання компаніям будь-якого масштабу можуть допомогти опенсорсні інструменти, що дають безліч можливостей і майже нічого не варті або безкоштовні.
Шановні читачі! Якими інструментами моніторингу безпеки ви користуєтеся?
Джерело: habr.com