Bulutli hisoblashning keng qo'llanilishi kompaniyalarga o'z bizneslarini kengaytirishga yordam beradi. Ammo yangi platformalardan foydalanish yangi tahdidlarning paydo bo'lishini ham anglatadi. Bulutli xizmatlar xavfsizligini nazorat qilish uchun mas'ul bo'lgan tashkilotda o'z jamoangizni saqlash oson ish emas. Mavjud monitoring vositalari qimmat va sekin. Katta miqyosdagi bulutli infratuzilmani ta'minlashga kelganda, ularni boshqarish ma'lum darajada qiyin. Bulutli xavfsizligini yuqori darajada ushlab turish uchun kompaniyalarga ilgari mavjud bo'lganidan tashqari kuchli, moslashuvchan va intuitiv vositalar kerak. Bu erda ochiq kodli texnologiyalar juda qo'l keladi, bu xavfsizlik byudjetlarini tejashga yordam beradi va o'z biznesi haqida ko'p narsalarni biladigan mutaxassislar tomonidan yaratiladi.
Tarjimasi bugun biz e'lon qilayotgan maqola bulutli tizimlar xavfsizligini kuzatish uchun 7 ta ochiq manba vositalari haqida umumiy ma'lumot beradi. Bu vositalar anomaliyalar va xavfli faoliyatlarni aniqlash orqali xakerlar va kiberjinoyatchilardan himoyalanish uchun moʻljallangan.
1. Osquery
xavfsizlik boʻyicha mutaxassislarga SQL yordamida murakkab maʼlumotlarni qazib olish imkonini beruvchi operatsion tizimlarning past darajadagi monitoringi va tahlili tizimidir. Osquery ramkasi Linux, macOS, Windows va FreeBSD-da ishlashi mumkin. U operatsion tizimni (OT) yuqori samarali relyatsion ma'lumotlar bazasi sifatida ifodalaydi. Bu xavfsizlik bo'yicha mutaxassislarga SQL so'rovlarini bajarish orqali OTni tekshirish imkonini beradi. Misol uchun, so'rovdan foydalanib, siz ishlaydigan jarayonlar, yuklangan yadro modullari, ochiq tarmoq ulanishlari, o'rnatilgan brauzer kengaytmalari, apparat hodisalari va fayl xeshlari haqida bilib olishingiz mumkin.
Osquery ramkasi Facebook tomonidan yaratilgan. Uning kodi 2014-yilda ochiq kodli bo‘lib, kompaniya operatsion tizimlarning past darajadagi mexanizmlarini kuzatish uchun vositalar nafaqat o‘zi kerakligini anglab yetganidan so‘ng paydo bo‘ldi. O'shandan beri Osquery-dan Dactiv, Google, Kolide, Trail of Bits, Uptycs va boshqalar kabi kompaniyalar mutaxassislari foydalanmoqda. Yaqinda edi Linux Foundation va Facebook Osquery-ni qo'llab-quvvatlash uchun fond tashkil qilmoqchi.
Osquery-ning osqueryd deb nomlangan xost monitoringi demoni tashkilotingiz infratuzilmasi bo'ylab ma'lumotlarni to'playdigan so'rovlarni rejalashtirish imkonini beradi. Demon so'rov natijalarini to'playdi va infratuzilma holatidagi o'zgarishlarni aks ettiruvchi jurnallarni yaratadi. Bu xavfsizlik mutaxassislariga tizim holatidan xabardor bo'lishga yordam beradi va ayniqsa anomaliyalarni aniqlash uchun foydalidir. Osquery-ning jurnallarni yig'ish imkoniyatlari sizga ma'lum va noma'lum zararli dasturlarni topishga yordam berish, shuningdek, tajovuzkorlar tizimingizga qayerdan kirganligini aniqlash va ular qanday dasturlarni o'rnatganligini aniqlash uchun ishlatilishi mumkin. Osquery yordamida anomaliyalarni aniqlash haqida ko'proq o'qing.
2. GoAudit
tizim ikkita asosiy komponentdan iborat. Birinchisi, tizim qo'ng'iroqlarini ushlab turish va kuzatish uchun mo'ljallangan yadro darajasidagi ba'zi kodlar. Ikkinchi komponent - bu foydalanuvchi kosmik demoni . U audit natijalarini diskka yozish uchun javobgardir. , kompaniya tomonidan yaratilgan tizim va 2016 yilda chiqarilgan, auditni almashtirish uchun mo'ljallangan. U oson tahlil qilish uchun Linux audit tizimi tomonidan yaratilgan ko'p qatorli voqea xabarlarini yagona JSON bloblariga aylantirish orqali jurnalga yozish imkoniyatlarini yaxshilagan. GoAudit yordamida siz yadro darajasidagi mexanizmlarga tarmoq orqali bevosita kirishingiz mumkin. Bundan tashqari, siz xostning o'zida minimal hodisa filtrlashni yoqishingiz mumkin (yoki filtrlashni butunlay o'chirib qo'yishingiz mumkin). Shu bilan birga, GoAudit nafaqat xavfsizlikni ta'minlash uchun mo'ljallangan loyihadir. Ushbu vosita tizimni qo'llab-quvvatlash yoki ishlab chiqish bo'yicha mutaxassislar uchun imkoniyatlarga boy vosita sifatida ishlab chiqilgan. U keng ko'lamli infratuzilmalardagi muammolarni hal qilishga yordam beradi.
GoAudit tizimi Golang tilida yozilgan. Bu turdagi xavfsiz va yuqori unumdor tildir. GoAudit-ni o'rnatishdan oldin, sizning Golang versiyangiz 1.7 dan yuqori ekanligini tekshiring.
3. Grapl
Loyiha (Graph Analytics Platform) o'tgan yilning mart oyida ochiq manba toifasiga o'tkazildi. Bu xavfsizlik muammolarini aniqlash, kompyuter ekspertizasini o'tkazish va hodisalar haqida hisobotlarni yaratish uchun nisbatan yangi platformadir. Buzg'unchilar ko'pincha grafik model kabi biror narsa yordamida ishlaydi, bitta tizimni nazorat qiladi va shu tizimdan boshlab boshqa tarmoq tizimlarini o'rganadi. Shuning uchun tizim himoyachilari tizimlar orasidagi munosabatlarning o'ziga xos xususiyatlarini hisobga olgan holda tarmoq tizimlarining ulanishlar grafigi modeliga asoslangan mexanizmdan ham foydalanishlari tabiiydir. Grapl hodisani aniqlash va javob choralarini jurnal modeliga emas, balki grafik modeliga asoslangan holda amalga oshirishga urinishlarini namoyish etadi.
Grapl vositasi xavfsizlik bilan bog'liq jurnallarni oladi (Sysmon jurnallari yoki oddiy JSON formatidagi jurnallar) va ularni pastki grafiklarga aylantiradi (har bir tugun uchun "identifikatsiya" ni belgilaydi). Shundan so'ng, u subgraflarni umumiy grafikga (Master Graph) birlashtiradi, bu tahlil qilingan muhitda bajarilgan harakatlarni ifodalaydi. Keyin Grapl anomaliyalar va shubhali naqshlarni aniqlash uchun “hujumchi imzolari” yordamida olingan grafikda Analizatorlarni ishga tushiradi. Analizator shubhali subgrafni aniqlaganida, Grapl tekshiruv uchun mo'ljallangan Engagement konstruktsiyasini yaratadi. Engagement - bu, masalan, AWS muhitida o'rnatilgan Jupyter Notebookga yuklanishi mumkin bo'lgan Python klassi. Grapl, qo'shimcha ravishda, grafikni kengaytirish orqali hodisani tekshirish uchun ma'lumot to'plash ko'lamini oshirishi mumkin.
Agar siz Graplni yaxshiroq tushunmoqchi bo'lsangiz, ko'rib chiqishingiz mumkin qiziqarli video - BSides Las Vegas 2019 dan spektaklni yozib olish.
4. OSSEC
2004 yilda tashkil etilgan loyihadir. Ushbu loyiha, umuman olganda, xostni tahlil qilish va hujumni aniqlash uchun mo'ljallangan ochiq manbali xavfsizlik monitoringi platformasi sifatida tavsiflanishi mumkin. OSSEC yiliga 500000 XNUMX martadan ko'proq yuklab olinadi. Bu platforma asosan serverlarga kirishlarni aniqlash vositasi sifatida ishlatiladi. Bundan tashqari, biz ham mahalliy, ham bulutli tizimlar haqida gapiramiz. OSSEC ko'pincha xavfsizlik devorlari, hujumlarni aniqlash tizimlari, veb-serverlarning monitoringi va tahlil jurnallarini tekshirish, shuningdek autentifikatsiya jurnallarini o'rganish uchun vosita sifatida ishlatiladi.
OSSEC Xostga asoslangan hujumni aniqlash tizimining (HIDS) imkoniyatlarini Xavfsizlik hodisalarini boshqarish (SIM) va Xavfsizlik ma'lumotlari va hodisalarni boshqarish (SIEM) tizimlari bilan birlashtiradi. . OSSEC ham real vaqtda fayl yaxlitligini kuzatishi mumkin. Bu, masalan, Windows ro'yxatga olish kitobini kuzatib boradi va rootkitlarni aniqlaydi. OSSEC real vaqtda aniqlangan muammolar haqida manfaatdor tomonlarni xabardor qila oladi va aniqlangan tahdidlarga tezda javob berishga yordam beradi. Ushbu platforma Microsoft Windows va eng zamonaviy Unix-ga o'xshash tizimlarni, jumladan Linux, FreeBSD, OpenBSD va Solarisni qo'llab-quvvatlaydi.
OSSEC platformasi agentlardan (nazorat qilinishi kerak bo'lgan tizimlarda o'rnatilgan kichik dasturlar) ma'lumotlarni olish va nazorat qilish uchun foydalaniladigan markaziy boshqaruv ob'ekti, menejerdan iborat. Menejer fayllarning yaxlitligini tekshirish uchun foydalaniladigan ma'lumotlar bazasini saqlaydigan Linux tizimiga o'rnatiladi. Shuningdek, u hodisalar va tizim tekshiruvi natijalari jurnallari va yozuvlarini saqlaydi.
OSSEC loyihasi hozirda Atomicorp tomonidan qo'llab-quvvatlanadi. Kompaniya bepul ochiq manba versiyasini nazorat qiladi va qo'shimcha ravishda taklif qiladi mahsulotning tijorat versiyasi. podkast, unda OSSEC loyiha menejeri tizimning so'nggi versiyasi - OSSEC 3.0 haqida gapiradi. Shuningdek, u loyihaning tarixi va uning kompyuter xavfsizligi sohasida qo'llaniladigan zamonaviy tijorat tizimlaridan qanday farq qilishi haqida gapiradi.
5. meerkat
kompyuter xavfsizligining asosiy muammolarini hal qilishga qaratilgan ochiq kodli loyihadir. Xususan, u tajovuzni aniqlash tizimi, bosqinning oldini olish tizimi va tarmoq xavfsizligi monitoringi vositasini o'z ichiga oladi.
Ushbu mahsulot 2009 yilda paydo bo'lgan. Uning ishi qoidalarga asoslanadi. Ya'ni, undan foydalanadigan kishi tarmoq trafigining ma'lum xususiyatlarini tavsiflash imkoniyatiga ega. Agar qoida ishga tushirilsa, Suricata shubhali ulanishni bloklaydigan yoki to'xtatadigan bildirishnoma ishlab chiqaradi, bu yana ko'rsatilgan qoidalarga bog'liq. Loyiha, shuningdek, ko'p tarmoqli operatsiyani qo'llab-quvvatlaydi. Bu katta hajmdagi trafikni tashuvchi tarmoqlarda ko'p sonli qoidalarni tezda qayta ishlash imkonini beradi. Ko'p tarmoqli qo'llab-quvvatlash tufayli mutlaqo oddiy server 10 Gbit/s tezlikda harakatlanadigan trafikni muvaffaqiyatli tahlil qila oladi. Bunday holda, administrator trafikni tahlil qilish uchun ishlatiladigan qoidalar to'plamini cheklashi shart emas. Suricata shuningdek, xeshlash va fayllarni qidirishni qo'llab-quvvatlaydi.
Suricata mahsulotda yaqinda kiritilgan xususiyatdan foydalangan holda oddiy serverlarda yoki AWS kabi virtual mashinalarda ishlash uchun sozlanishi mumkin. .
Loyiha Lua skriptlarini qo'llab-quvvatlaydi, ulardan tahdid imzolarini tahlil qilish uchun murakkab va batafsil mantiqni yaratish uchun foydalanish mumkin.
Suricata loyihasi ochiq axborot xavfsizligi fondi (OISF) tomonidan boshqariladi.
6. Zeek (aka)
Suricata kabi, (bu loyiha avval Bro deb atalgan va BroCon 2018 da Zeek nomiga oʻzgartirilgan) ham shubhali yoki xavfli faoliyat kabi anomaliyalarni aniqlay oladigan bosqinlarni aniqlash tizimi va tarmoq xavfsizligi monitoringi vositasidir. Zeek an'anaviy IDS dan farqi shundaki, istisnolarni aniqlaydigan qoidaga asoslangan tizimlardan farqli o'laroq, Zeek tarmoqda sodir bo'layotgan voqealar bilan bog'liq metama'lumotlarni ham oladi. Bu noodatiy tarmoq xatti-harakatlari kontekstini yaxshiroq tushunish uchun amalga oshiriladi. Bu, masalan, HTTP chaqiruvini yoki xavfsizlik sertifikatlarini almashish tartibini tahlil qilish orqali protokolga, paket sarlavhalariga, domen nomlariga qarash imkonini beradi.
Agar biz Zeek-ni tarmoq xavfsizligi vositasi deb hisoblasak, u mutaxassisga voqeadan oldin yoki sodir bo'lgan voqealarni o'rganish orqali voqeani tekshirish imkoniyatini beradi, deb aytishimiz mumkin. Zeek shuningdek, tarmoq trafigi ma'lumotlarini yuqori darajadagi voqealarga aylantiradi va skript tarjimoni bilan ishlash imkoniyatini beradi. Tarjimon voqealar bilan o'zaro aloqada bo'lish va ushbu hodisalar tarmoq xavfsizligi nuqtai nazaridan nimani anglatishini aniqlash uchun foydalaniladigan dasturlash tilini qo'llab-quvvatlaydi. Zeek dasturlash tili metama'lumotlarning ma'lum bir tashkilot ehtiyojlariga mos ravishda talqin qilinishini sozlash uchun ishlatilishi mumkin. U AND, OR va NOT operatorlari yordamida murakkab mantiqiy shartlarni qurish imkonini beradi. Bu foydalanuvchilarga o'z muhitlari qanday tahlil qilinishini sozlash imkoniyatini beradi. Ammo shuni ta'kidlash kerakki, Surikata bilan solishtirganda, Zeek xavfsizlikka tahdidni aniqlashda juda murakkab vosita kabi ko'rinishi mumkin.
Agar siz Zeek haqida batafsil ma'lumotga qiziqsangiz, iltimos, bog'laning video.
7. Pantera
doimiy xavfsizlik monitoringi uchun kuchli, mahalliy bulutli platforma hisoblanadi. U yaqinda ochiq manba toifasiga o'tkazildi. Asosiy arxitektor loyihaning boshida — kodi Airbnb tomonidan ochilgan avtomatik jurnal tahlili uchun yechimlar. Panther foydalanuvchiga barcha muhitdagi tahdidlarni markazlashtirilgan tarzda aniqlash va ularga javob berishni tashkil qilish uchun yagona tizimni taqdim etadi. Ushbu tizim xizmat ko'rsatilayotgan infratuzilma hajmi bilan birga o'sishga qodir. Tahdidni aniqlash shaffof, deterministik qoidalarga asoslanadi, bu xavfsizlik mutaxassislari uchun noto'g'ri ijobiy va keraksiz ish yukini kamaytirishdir.
Panterning asosiy xususiyatlari orasida quyidagilar mavjud:
- Jurnallarni tahlil qilish orqali resurslarga ruxsatsiz kirishni aniqlash.
- Tahdidni aniqlash, xavfsizlik muammolarini ko'rsatadigan ko'rsatkichlar uchun jurnallarni qidirish orqali amalga oshiriladi. Qidiruv Panterning standartlashtirilgan ma'lumotlar maydonlari yordamida amalga oshiriladi.
- Tizimning SOC/PCI/HIPAA standartlariga muvofiqligini tekshirish Panter mexanizmlari.
- Agar tajovuzkorlar tomonidan foydalanilsa, jiddiy muammolarga olib kelishi mumkin bo'lgan konfiguratsiya xatolarini avtomatik tuzatish orqali bulutli resurslaringizni himoya qiling.
Panther AWS CloudFormation yordamida tashkilotning AWS bulutida o'rnatiladi. Bu foydalanuvchiga har doim o'z ma'lumotlarini nazorat qilish imkonini beradi.
natijalar
Tizim xavfsizligini nazorat qilish bugungi kunda juda muhim vazifadir. Ushbu muammoni hal qilishda har qanday o'lchamdagi kompaniyalarga juda ko'p imkoniyatlarni taqdim etadigan va deyarli hech qanday xarajat qilmaydigan yoki bepul bo'lgan ochiq manba vositalari yordam berishi mumkin.
Hurmatli o'quvchilar! Qanday xavfsizlik monitoringi vositalaridan foydalanasiz?
Manba: www.habr.com