云计算的广泛采用有助于公司扩展业务。 但新平台的使用也意味着新威胁的出现。 在组织内维护自己的团队负责监控云服务的安全性并不是一件容易的事。 现有的监控工具昂贵且缓慢。 在某种程度上,当涉及到保护大规模云基础设施时,它们很难管理。 为了保持高水平的云安全性,公司需要超越以前可用的强大、灵活和直观的工具。 这就是开源技术非常有用的地方,有助于节省安全预算,并且由非常了解其业务的专家创建。
我们今天发布的这篇文章的翻译概述了 7 个用于监控云系统安全的开源工具。 这些工具旨在通过检测异常和不安全活动来防范黑客和网络犯罪分子。
1. 奥斯查询
是一个用于操作系统低级监控和分析的系统,允许安全专业人员使用 SQL 进行复杂的数据挖掘。 Osquery 框架可以在 Linux、macOS、Windows 和 FreeBSD 上运行。 它将操作系统(OS)表示为高性能关系数据库。 这使得安全专家可以通过运行 SQL 查询来检查操作系统。 例如,使用查询,您可以了解正在运行的进程、已加载的内核模块、打开的网络连接、已安装的浏览器扩展、硬件事件和文件哈希值。
Osquery 框架是由 Facebook 创建的。 2014 年,公司意识到不仅自己需要监控操作系统底层机制的工具,其代码也被开源。 从那时起,Osquery 已被 Dactiv、Google、Kolide、Trail of Bits、Uptycs 等公司的专家使用。 这是最近 Linux 基金会和 Facebook 将成立一个基金来支持 Osquery。
Osquery 的主机监控守护进程(称为 osqueryd)允许您安排查询,从整个组织的基础设施中收集数据。 该守护进程收集查询结果并创建反映基础设施状态变化的日志。 这可以帮助安全专业人员及时了解系统的状态,对于识别异常情况特别有用。 Osquery 的日志聚合功能可用于帮助您查找已知和未知的恶意软件,以及识别攻击者进入您的系统的位置并查找他们安装了哪些程序。 阅读有关使用 Osquery 进行异常检测的更多信息。
2.审计
系统 由两个主要部分组成。 第一个是一些旨在拦截和监视系统调用的内核级代码。 第二个组件是一个名为的用户空间守护进程 。 它负责将审计结果写入磁盘。 ,公司创建的系统 于2016年发布,旨在取代auditd。 它通过将 Linux 审核系统生成的多行事件消息转换为单个 JSON blob 以便于分析,从而改进了日志记录功能。 使用GoAudit,您可以通过网络直接访问内核级机制。 此外,您可以在主机本身上启用最小事件过滤(或完全禁用过滤)。 同时,GoAudit 是一个不仅旨在确保安全性的项目。 该工具是为系统支持或开发专业人员设计的功能丰富的工具。 它有助于解决大型基础设施中的问题。
GoAudit系统是用Golang编写的。 它是一种类型安全且高性能的语言。 在安装GoAudit之前,请检查您的Golang版本是否高于1.7。
3.格普尔
项目 (Graph Analytics Platform)于去年XNUMX月转入开源类别。 它是一个相对较新的平台,用于检测安全问题、进行计算机取证和生成事件报告。 攻击者经常使用图形模型之类的东西来控制单个系统,并从该系统开始探索其他网络系统。 因此,考虑到系统之间关系的特殊性,系统维护者也很自然地会使用基于网络系统连接图模型的机制。 Grapl 演示了基于图模型而不是日志模型来实施事件检测和响应措施的尝试。
Grapl 工具获取与安全相关的日志(Sysmon 日志或常规 JSON 格式的日志)并将其转换为子图(为每个节点定义“身份”)。 之后,它将子图组合成一个公共图(主图),该图表示在分析环境中执行的操作。 然后 Grapl 使用“攻击者签名”在结果图上运行分析器来识别异常和可疑模式。 当分析器识别出可疑子图时,Grapl 会生成一个用于调查的参与构造。 Engagement 是一个 Python 类,可以加载到部署在 AWS 环境中的 Jupyter Notebook 等中。 此外,Grapl还可以通过图扩展来增加事件调查的信息收集规模。
如果你想更好的理解Grapl,可以看看 有趣的视频 - 2019 年 BSides 拉斯维加斯表演的录制。
4.OSSEC
是一个成立于2004年的项目。 总的来说,该项目可以被描述为一个专为主机分析和入侵检测而设计的开源安全监控平台。 OSSEC 每年的下载量超过 500000 次。 该平台主要用作检测服务器入侵的手段。 此外,我们谈论的是本地系统和云系统。 OSSEC 还经常用作检查防火墙、入侵检测系统、Web 服务器的监控和分析日志以及研究身份验证日志的工具。
OSSEC 将基于主机的入侵检测系统 (HIDS) 的功能与安全事件管理 (SIM) 以及安全信息和事件管理 (SIEM) 系统相结合。 OSSEC还可以实时监控文件完整性。 例如,它可以监视 Windows 注册表并检测 Rootkit。 OSSEC 能够实时通知利益相关者检测到的问题,并帮助快速响应检测到的威胁。 该平台支持 Microsoft Windows 和大多数现代类 Unix 系统,包括 Linux、FreeBSD、OpenBSD 和 Solaris。
OSSEC平台由一个中央控制实体——管理器组成,用于接收和监控来自代理(安装在需要监控的系统上的小程序)的信息。 该管理器安装在Linux系统上,该系统存储用于检查文件完整性的数据库。 它还存储事件日志和记录以及系统审核结果。
OSSEC 项目目前得到 Atomicorp 的支持。 该公司提供免费的开源版本,此外还提供 产品的商业版本。 OSSEC 项目经理在播客中谈论了系统的最新版本 - OSSEC 3.0。 它还讨论了该项目的历史,以及它与计算机安全领域使用的现代商业系统有何不同。
5.猫鼬
是一个专注于解决计算机安全主要问题的开源项目。 具体来说,它包括入侵检测系统、入侵防御系统和网络安全监控工具。
该产品于2009年出现。 他的工作是基于规则的。 也就是说,使用它的人有机会描述网络流量的某些特征。 如果规则被触发,Suricata 会生成通知,阻止或终止可疑连接,这同样取决于指定的规则。 该项目还支持多线程操作。 这使得在承载大量流量的网络中快速处理大量规则成为可能。 由于多线程支持,完全普通的服务器能够成功分析以 10 Gbit/s 的速度传输的流量。 在这种情况下,管理员不必限制用于流量分析的规则集。 Suricata 还支持散列和文件检索。
Suricata 可以使用产品中最近推出的功能配置为在常规服务器或虚拟机(例如 AWS)上运行 .
该项目支持Lua脚本,可用于创建复杂而详细的逻辑来分析威胁签名。
Suricata 项目由开放信息安全基金会 (OISF) 管理。
6. 泽克(兄弟)
像苏里卡塔一样, (这个项目以前叫Bro,在BroCon 2018上更名为Zeek)也是一个入侵检测系统和网络安全监控工具,可以检测可疑或危险活动等异常情况。 Zeek 与传统 IDS 的不同之处在于,与检测异常的基于规则的系统不同,Zeek 还捕获与网络上发生的情况相关的元数据。 这样做是为了更好地了解异常网络行为的背景。 例如,这允许通过分析 HTTP 调用或交换安全证书的过程来查看协议、数据包标头和域名。
如果我们将 Zeek 视为一种网络安全工具,那么我们可以说它为专家提供了通过了解事件之前或事件期间发生的情况来调查事件的机会。 Zeek 还将网络流量数据转换为高级事件,并提供与脚本解释器一起使用的能力。 解释器支持一种编程语言,用于与事件交互并找出这些事件在网络安全方面的确切含义。 Zeek 编程语言可用于自定义元数据的解释方式,以满足特定组织的需求。 它允许您使用 AND、OR 和 NOT 运算符构建复杂的逻辑条件。 这使用户能够自定义分析其环境的方式。 但需要注意的是,与Suricata相比,Zeek在进行安全威胁侦察时似乎是一个相当复杂的工具。
如果您对Zeek的更多详情感兴趣,请联系 视频。
7.黑豹
是一个强大的、原生的云原生平台,用于持续安全监控。 它最近被转移到开源类别。 主要建筑师是该项目的起源 — 自动化日志分析的解决方案,其代码由 Airbnb 开源。 Panther 为用户提供了一个单一系统,用于集中检测所有环境中的威胁并组织响应。 该系统能够随着所服务的基础设施的规模而增长。 威胁检测基于透明、确定性的规则,以减少误报和安全专业人员不必要的工作量。
Panther 的主要特点如下:
- 通过分析日志来检测对资源的未经授权的访问。
- 威胁检测,通过搜索日志中指示安全问题的指标来实现。 搜索是使用 Panter 的标准化数据字段进行的。
- 使用以下命令检查系统是否符合 SOC/PCI/HIPAA 标准 黑豹机制。
- 通过自动更正配置错误来保护您的云资源,这些错误如果被攻击者利用可能会导致严重问题。
Panther 使用 AWS CloudFormation 部署在组织的 AWS 云上。 这允许用户始终控制他的数据。
结果
如今,监控系统安全是一项关键任务。 在解决这个问题时,任何规模的公司都可以通过开源工具得到帮助,这些工具提供了大量的机会,而且几乎不需要任何成本或免费。
亲爱的读者! 您使用什么安全监控工具?
来源: habr.com