Việc áp dụng rộng rãi điện toán đám mây giúp các công ty mở rộng quy mô kinh doanh. Nhưng việc sử dụng các nền tảng mới cũng đồng nghĩa với việc xuất hiện các mối đe dọa mới. Duy trì nhóm của riêng bạn trong một tổ chức chịu trách nhiệm giám sát tính bảo mật của dịch vụ đám mây không phải là một nhiệm vụ dễ dàng. Các công cụ giám sát hiện tại rất tốn kém và chậm. Ở một mức độ nào đó, chúng khó quản lý khi cần bảo mật cơ sở hạ tầng đám mây quy mô lớn. Để duy trì bảo mật đám mây ở mức cao, các công ty cần các công cụ mạnh mẽ, linh hoạt và trực quan vượt xa những gì đã có trước đây. Đây là lúc các công nghệ nguồn mở trở nên rất hữu ích, giúp tiết kiệm ngân sách bảo mật và được tạo ra bởi các chuyên gia biết nhiều về hoạt động kinh doanh của họ.
Bài viết mà chúng tôi xuất bản ngày hôm nay cung cấp cái nhìn tổng quan về 7 công cụ nguồn mở để giám sát tính bảo mật của hệ thống đám mây. Những công cụ này được thiết kế để bảo vệ khỏi tin tặc và tội phạm mạng bằng cách phát hiện các hoạt động bất thường và không an toàn.
1. Truy vấn
là một hệ thống giám sát và phân tích cấp độ thấp của hệ điều hành, cho phép các chuyên gia bảo mật tiến hành khai thác dữ liệu phức tạp bằng SQL. Khung Osquery có thể chạy trên Linux, macOS, Windows và FreeBSD. Nó đại diện cho hệ điều hành (OS) như một cơ sở dữ liệu quan hệ hiệu suất cao. Điều này cho phép các chuyên gia bảo mật kiểm tra hệ điều hành bằng cách chạy các truy vấn SQL. Ví dụ: bằng cách sử dụng truy vấn, bạn có thể tìm hiểu về các tiến trình đang chạy, mô-đun hạt nhân đã tải, kết nối mạng mở, tiện ích mở rộng trình duyệt đã cài đặt, sự kiện phần cứng và băm tệp.
Khung Osquery được tạo bởi Facebook. Mã của nó có nguồn mở vào năm 2014, sau khi công ty nhận ra rằng không chỉ bản thân họ mới cần các công cụ để giám sát các cơ chế cấp thấp của hệ điều hành. Kể từ đó, Osquery đã được các chuyên gia từ các công ty như Dactiv, Google, Kolide, Trail of Bits, Uptycs và nhiều công ty khác sử dụng. Gần đây rằng Linux Foundation và Facebook sẽ thành lập một quỹ để hỗ trợ Osquery.
Trình nền giám sát máy chủ của Osquery, được gọi là osqueryd, cho phép bạn lên lịch các truy vấn thu thập dữ liệu từ cơ sở hạ tầng của tổ chức bạn. Trình nền thu thập kết quả truy vấn và tạo nhật ký phản ánh những thay đổi về trạng thái của cơ sở hạ tầng. Điều này có thể giúp các chuyên gia bảo mật theo kịp trạng thái của hệ thống và đặc biệt hữu ích trong việc xác định các điểm bất thường. Khả năng tổng hợp nhật ký của Osquery có thể được sử dụng để giúp bạn tìm phần mềm độc hại đã biết và chưa biết, cũng như xác định nơi kẻ tấn công đã xâm nhập vào hệ thống của bạn và tìm chương trình chúng đã cài đặt. Đọc thêm về phát hiện bất thường bằng Osquery.
2.GoKiểm toán
Hệ thống gồm có hai thành phần chính. Đầu tiên là một số mã cấp hạt nhân được thiết kế để chặn và giám sát các cuộc gọi hệ thống. Thành phần thứ hai là một daemon không gian người dùng được gọi là . Nó có trách nhiệm ghi kết quả kiểm tra vào đĩa. , một hệ thống được tạo ra bởi công ty và được phát hành vào năm 2016, nhằm thay thế Auditd. Nó đã cải thiện khả năng ghi nhật ký bằng cách chuyển đổi các thông báo sự kiện nhiều dòng do hệ thống kiểm tra Linux tạo ra thành các đốm màu JSON đơn để phân tích dễ dàng hơn. Với GoAudit, bạn có thể truy cập trực tiếp vào các cơ chế cấp hạt nhân qua mạng. Ngoài ra, bạn có thể bật tính năng lọc sự kiện tối thiểu trên chính máy chủ (hoặc tắt hoàn toàn tính năng lọc). Đồng thời, GoAudit là dự án được thiết kế không chỉ để đảm bảo an ninh. Công cụ này được thiết kế như một công cụ giàu tính năng dành cho các chuyên gia phát triển hoặc hỗ trợ hệ thống. Nó giúp giải quyết các vấn đề trong cơ sở hạ tầng quy mô lớn.
Hệ thống GoAudit được viết bằng Golang. Đây là một ngôn ngữ an toàn và hiệu suất cao. Trước khi cài đặt GoAudit, hãy kiểm tra xem phiên bản Golang của bạn có cao hơn 1.7 không.
3. Grapl
Dự án (Nền tảng phân tích đồ thị) đã được chuyển sang danh mục nguồn mở vào tháng XNUMX năm ngoái. Đây là một nền tảng tương đối mới để phát hiện các vấn đề bảo mật, tiến hành điều tra máy tính và tạo báo cáo sự cố. Những kẻ tấn công thường sử dụng thứ gì đó giống như mô hình đồ thị, giành quyền kiểm soát một hệ thống duy nhất và khám phá các hệ thống mạng khác bắt đầu từ hệ thống đó. Do đó, điều khá tự nhiên là những người bảo vệ hệ thống cũng sẽ sử dụng cơ chế dựa trên mô hình biểu đồ kết nối của các hệ thống mạng, có tính đến đặc thù của mối quan hệ giữa các hệ thống. Grapl thể hiện nỗ lực triển khai các biện pháp ứng phó và phát hiện sự cố dựa trên mô hình đồ thị thay vì mô hình nhật ký.
Công cụ Grapl lấy các nhật ký liên quan đến bảo mật (nhật ký Sysmon hoặc nhật ký ở định dạng JSON thông thường) và chuyển đổi chúng thành các sơ đồ con (xác định “danh tính” cho mỗi nút). Sau đó, nó kết hợp các biểu đồ con thành một biểu đồ chung (Biểu đồ chính), biểu thị các hành động được thực hiện trong môi trường được phân tích. Grapl sau đó chạy Trình phân tích trên biểu đồ kết quả bằng cách sử dụng “chữ ký của kẻ tấn công” để xác định các điểm bất thường và các mẫu đáng ngờ. Khi máy phân tích xác định một sơ đồ con đáng ngờ, Grapl sẽ tạo cấu trúc Tương tác dành cho việc điều tra. Tương tác là một lớp Python có thể được tải, chẳng hạn như vào Sổ ghi chép Jupyter được triển khai trong môi trường AWS. Ngoài ra, Grapl có thể tăng quy mô thu thập thông tin để điều tra sự cố thông qua việc mở rộng biểu đồ.
Nếu bạn muốn hiểu rõ hơn về Grapl, bạn có thể xem qua video thú vị - ghi lại buổi biểu diễn từ BSides Las Vegas 2019.
4. OSSEC
là một dự án được thành lập vào năm 2004. Nói chung, dự án này có thể được mô tả như một nền tảng giám sát bảo mật nguồn mở được thiết kế để phân tích máy chủ và phát hiện xâm nhập. OSSEC được tải xuống hơn 500000 lần mỗi năm. Nền tảng này được sử dụng chủ yếu như một phương tiện phát hiện sự xâm nhập vào máy chủ. Hơn nữa, chúng ta đang nói về cả hệ thống cục bộ và đám mây. OSSEC cũng thường được sử dụng như một công cụ để kiểm tra nhật ký giám sát và phân tích của tường lửa, hệ thống phát hiện xâm nhập, máy chủ web và cũng để nghiên cứu nhật ký xác thực.
OSSEC kết hợp các khả năng của Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) với hệ thống Quản lý sự cố bảo mật (SIM) và Hệ thống quản lý sự kiện và thông tin bảo mật (SIEM). . OSSEC cũng có thể giám sát tính toàn vẹn của tệp trong thời gian thực. Ví dụ, điều này sẽ giám sát sổ đăng ký Windows và phát hiện rootkit. OSSEC có thể thông báo cho các bên liên quan về các vấn đề được phát hiện trong thời gian thực và giúp phản ứng nhanh chóng với các mối đe dọa được phát hiện. Nền tảng này hỗ trợ Microsoft Windows và hầu hết các hệ thống tương tự Unix hiện đại, bao gồm Linux, FreeBSD, OpenBSD và Solaris.
Nền tảng OSSEC bao gồm một thực thể điều khiển trung tâm, một người quản lý, dùng để tiếp nhận và giám sát thông tin từ các tác nhân (các chương trình nhỏ được cài đặt trên hệ thống cần được giám sát). Trình quản lý được cài đặt trên hệ thống Linux, nơi lưu trữ cơ sở dữ liệu được sử dụng để kiểm tra tính toàn vẹn của tệp. Nó cũng lưu trữ nhật ký và hồ sơ về các sự kiện cũng như kết quả kiểm tra hệ thống.
Dự án OSSEC hiện được Atomicorp hỗ trợ. Công ty giám sát phiên bản nguồn mở miễn phí và ngoài ra còn cung cấp phiên bản thương mại của sản phẩm. podcast trong đó người quản lý dự án OSSEC nói về phiên bản mới nhất của hệ thống - OSSEC 3.0. Nó cũng nói về lịch sử của dự án và nó khác biệt như thế nào với các hệ thống thương mại hiện đại được sử dụng trong lĩnh vực bảo mật máy tính.
5. meerkat
là một dự án nguồn mở tập trung vào việc giải quyết các vấn đề chính về bảo mật máy tính. Đặc biệt, nó bao gồm hệ thống phát hiện xâm nhập, hệ thống ngăn chặn xâm nhập và công cụ giám sát an ninh mạng.
Sản phẩm này xuất hiện vào năm 2009. Công việc của anh ấy dựa trên các quy tắc. Nghĩa là, người sử dụng nó có cơ hội mô tả một số tính năng nhất định của lưu lượng mạng. Nếu quy tắc được kích hoạt, Suricata sẽ tạo thông báo, chặn hoặc chấm dứt kết nối đáng ngờ, điều này một lần nữa phụ thuộc vào các quy tắc đã chỉ định. Dự án cũng hỗ trợ hoạt động đa luồng. Điều này giúp có thể xử lý nhanh chóng một số lượng lớn quy tắc trong các mạng có lưu lượng truy cập lớn. Nhờ hỗ trợ đa luồng, một máy chủ hoàn toàn bình thường có thể phân tích thành công lưu lượng truy cập ở tốc độ 10 Gbit/s. Trong trường hợp này, quản trị viên không phải giới hạn bộ quy tắc được sử dụng để phân tích lưu lượng truy cập. Suricata cũng hỗ trợ băm và truy xuất tệp.
Suricata có thể được cấu hình để chạy trên các máy chủ thông thường hoặc trên các máy ảo, chẳng hạn như AWS, bằng cách sử dụng tính năng được giới thiệu gần đây trong sản phẩm .
Dự án hỗ trợ các tập lệnh Lua, có thể được sử dụng để tạo logic phức tạp và chi tiết nhằm phân tích các dấu hiệu mối đe dọa.
Dự án Suricata được quản lý bởi Tổ chức An ninh Thông tin Mở (OISF).
6. Zeek (Anh)
Giống như Suricata, (dự án này trước đây có tên là Bro và được đổi tên thành Zeek tại BroCon 2018) cũng là một hệ thống phát hiện xâm nhập và công cụ giám sát an ninh mạng có thể phát hiện những điểm bất thường như hoạt động đáng ngờ hoặc nguy hiểm. Zeek khác với IDS truyền thống ở chỗ, không giống như các hệ thống dựa trên quy tắc phát hiện ngoại lệ, Zeek cũng thu thập siêu dữ liệu liên quan đến những gì đang xảy ra trên mạng. Điều này được thực hiện để hiểu rõ hơn bối cảnh của hành vi mạng bất thường. Điều này cho phép, ví dụ, bằng cách phân tích cuộc gọi HTTP hoặc quy trình trao đổi chứng chỉ bảo mật, xem xét giao thức, tiêu đề gói, tên miền.
Nếu chúng ta coi Zeek như một công cụ bảo mật mạng, thì chúng ta có thể nói rằng nó mang lại cho chuyên gia cơ hội điều tra một sự cố bằng cách tìm hiểu về những gì đã xảy ra trước hoặc trong sự cố. Zeek cũng chuyển đổi dữ liệu lưu lượng truy cập mạng thành các sự kiện cấp cao và cung cấp khả năng làm việc với trình thông dịch tập lệnh. Trình thông dịch hỗ trợ một ngôn ngữ lập trình được sử dụng để tương tác với các sự kiện và tìm hiểu chính xác những sự kiện đó có ý nghĩa gì về mặt bảo mật mạng. Ngôn ngữ lập trình Zeek có thể được sử dụng để tùy chỉnh cách diễn giải siêu dữ liệu cho phù hợp với nhu cầu của một tổ chức cụ thể. Nó cho phép bạn xây dựng các điều kiện logic phức tạp bằng cách sử dụng các toán tử AND, OR và NOT. Điều này cung cấp cho người dùng khả năng tùy chỉnh cách phân tích môi trường của họ. Tuy nhiên, cần lưu ý rằng, so với Suricata, Zeek có vẻ giống như một công cụ khá phức tạp khi tiến hành trinh sát mối đe dọa an ninh.
Nếu bạn muốn biết thêm chi tiết về Zeek, vui lòng liên hệ video.
7. Con báo
là một nền tảng gốc đám mây mạnh mẽ để giám sát bảo mật liên tục. Gần đây nó đã được chuyển sang danh mục nguồn mở. Kiến trúc sư chính là người khởi xướng dự án — giải pháp phân tích nhật ký tự động, mã của giải pháp này đã được Airbnb mở. Panther cung cấp cho người dùng một hệ thống duy nhất để phát hiện tập trung các mối đe dọa trong mọi môi trường và tổ chức phản ứng với chúng. Hệ thống này có khả năng phát triển cùng với quy mô cơ sở hạ tầng được phục vụ. Tính năng phát hiện mối đe dọa dựa trên các quy tắc xác định, minh bạch nhằm giảm các kết quả dương tính giả và khối lượng công việc không cần thiết cho các chuyên gia bảo mật.
Một số tính năng chính của Panther như sau:
- Phát hiện truy cập trái phép vào tài nguyên bằng cách phân tích nhật ký.
- Phát hiện mối đe dọa, được thực hiện bằng cách tìm kiếm nhật ký các chỉ báo cho thấy vấn đề bảo mật. Việc tìm kiếm được thực hiện bằng cách sử dụng các trường dữ liệu được tiêu chuẩn hóa của Panter.
- Kiểm tra sự tuân thủ của hệ thống với các tiêu chuẩn SOC/PCI/HIPAA bằng cách sử dụng Cơ chế của Panther.
- Bảo vệ tài nguyên đám mây của bạn bằng cách tự động sửa các lỗi cấu hình có thể gây ra sự cố nghiêm trọng nếu bị kẻ tấn công khai thác.
Panther được triển khai trên đám mây AWS của tổ chức bằng AWS CloudFormation. Điều này cho phép người dùng luôn kiểm soát được dữ liệu của mình.
Kết quả
Giám sát an ninh hệ thống là một nhiệm vụ quan trọng hiện nay. Để giải quyết vấn đề này, các công ty thuộc mọi quy mô đều có thể được trợ giúp bởi các công cụ nguồn mở mang lại nhiều cơ hội và hầu như không mất phí hoặc miễn phí.
Gởi bạn đọc! Bạn sử dụng công cụ giám sát bảo mật nào?
Nguồn: www.habr.com