雲端運算的廣泛採用有助於公司擴展業務。 但新平台的使用也意味著新威脅的出現。 在組織內維護自己的團隊負責監控雲端服務的安全性並不是一件容易的事。 現有的監控工具昂貴且緩慢。 在某種程度上,當涉及到保護大規模雲端基礎設施時,它們很難管理。 為了保持高水準的雲端安全性,公司需要超越以前可用的強大、靈活和直覺的工具。 這就是開源技術非常有用的地方,有助於節省安全預算,並由非常了解其業務的專家創建。
我們今天發布的這篇文章的翻譯概述了 7 個用於監控雲端系統安全性的開源工具。 這些工具旨在透過檢測異常和不安全活動來防範駭客和網路犯罪分子。
1. 奧斯查詢
是一個用於作業系統低階監控和分析的系統,允許安全專業人員使用 SQL 進行複雜的資料探勘。 Osquery 框架可以在 Linux、macOS、Windows 和 FreeBSD 上運作。 它將作業系統(OS)表示為高效能關係資料庫。 這使得安全專家可以透過執行 SQL 查詢來檢查作業系統。 例如,使用查詢,您可以了解正在執行的進程、已載入的核心模組、開啟的網路連線、已安裝的瀏覽器擴充功能、硬體事件和檔案雜湊值。
Osquery 框架是由 Facebook 創建的。 2014 年,公司意識到不僅自己需要監控作業系統底層機制的工具,其程式碼也被開源。 從那時起,Osquery 已被 Dactiv、Google、Kolide、Trail of Bits、Uptycs 等公司的專家使用。 這是最近 Linux 基金會和 Facebook 將成立一個基金來支持 Osquery。
Osquery 的主機監控守護程式(稱為 osqueryd)可讓您安排查詢,從整個組織的基礎架構中收集資料。 此守護程序會收集查詢結果並建立反映基礎設施狀態變化的日誌。 這可以幫助安全專業人員隨時了解系統的狀態,對於識別異常情況特別有用。 Osquery 的日誌聚合功能可用於協助您找到已知和未知的惡意軟體,以及識別攻擊者進入您系統的位置並查找他們安裝了哪些程式。 閱讀更多有關使用 Osquery 進行異常檢測的資訊。
2.審計
系統 由兩個主要部分組成。 第一個是一些旨在攔截和監視系統呼叫的核心級代碼。 第二個元件是一個名為的使用者空間守護程式 。 它負責將審計結果寫入磁碟。 ,公司創建的系統 於2016年發布,旨在取代auditd。 它透過將 Linux 審核系統產生的多行事件訊息轉換為單一 JSON blob 以便於分析,從而改進了日誌記錄功能。 使用GoAudit,您可以透過網路直接存取核心級機制。 此外,您可以在主機本身上啟用最小事件過濾(或完全停用過濾)。 同時,GoAudit 是一個不僅旨在確保安全性的專案。 該工具是為系統支援或開發專業人員設計的功能豐富的工具。 它有助於解決大型基礎設施中的問題。
GoAudit系統是用Golang寫的。 它是一種類型安全且高效能的語言。 在安裝GoAudit之前,請檢查您的Golang版本是否高於1.7。
3.格普爾
項目 (Graph Analytics Platform)於去年XNUMX月轉入開源類別。 它是一個相對較新的平台,用於檢測安全問題、進行電腦取證和產生事件報告。 攻擊者經常使用圖形模型之類的東西來控制單一系統,並從該系統開始探索其他網路系統。 因此,考慮到系統之間關係的特殊性,系統維護者也自然地會使用基於網路系統連接圖模型的機制。 Grapl 演示了基於圖模型而不是日誌模型來實施事件偵測和回應措施的嘗試。
Grapl 工具取得與安全性相關的日誌(Sysmon 日誌或常規 JSON 格式的日誌)並將其轉換為子圖(為每個節點定義「身分」)。 之後,它將子圖組合成一個公共圖(主圖),該圖表示在分析環境中執行的操作。 然後 Grapl 使用「攻擊者簽章」在結果圖上執行分析器來識別異常和可疑模式。 當分析器辨識出可疑子圖時,Grapl 會產生一個用於調查的參與構造。 Engagement 是一個 Python 類,可以載入到部署在 AWS 環境中的 Jupyter Notebook 等。 此外,Grapl還可以透過圖表擴展來增加事件調查的資訊收集規模。
如果你想更好的理解Grapl,可以看看 有趣的影片 - 2019 年 BSides 拉斯維加斯表演的錄製。
4.OSSEC
是一個成立於2004年的計畫。 總的來說,該專案可以被描述為專為主機分析和入侵偵測而設計的開源安全監控平台。 OSSEC 每年的下載量超過 500000 萬次。 該平台主要用作檢測伺服器入侵的手段。 此外,我們談論的是本地系統和雲端系統。 OSSEC 也經常用作檢查防火牆、入侵偵測系統、Web 伺服器的監控和分析日誌以及研究身分驗證日誌的工具。
OSSEC 將基於主機的入侵偵測系統 (HIDS) 的功能與安全事件管理 (SIM) 以及安全資訊和事件管理 (SIEM) 系統結合。 OSSEC還可以即時監控文件完整性。 例如,它可以監視 Windows 登錄並偵測 Rootkit。 OSSEC 能夠即時通知利害關係人偵測到的問題,並協助快速回應偵測到的威脅。 該平台支援 Microsoft Windows 和大多數現代類 Unix 系統,包括 Linux、FreeBSD、OpenBSD 和 Solaris。
OSSEC平台由一個中央控制實體-管理器組成,用於接收和監控來自代理程式(安裝在需要監控的系統上的小程式)的資訊。 此管理器安裝在Linux系統上,該系統儲存用於檢查檔案完整性的資料庫。 它還儲存事件日誌和記錄以及系統審核結果。
OSSEC 專案目前得到 Atomicorp 的支持。 該公司提供免費的開源版本,此外還提供 產品的商業版本。 OSSEC 專案經理在播客中談論了系統的最新版本 - OSSEC 3.0。 它還討論了該專案的歷史,以及它與電腦安全領域使用的現代商業系統有何不同。
5.貓鼬
是一個專注於解決電腦安全主要問題的開源專案。 具體來說,它包括入侵偵測系統、入侵防禦系統和網路安全監控工具。
該產品於2009年出現。 他的工作是基於規則的。 也就是說,使用它的人有機會描述網路流量的某些特徵。 如果規則被觸發,Suricata 會產生通知,阻止或終止可疑連接,這同樣取決於指定的規則。 該項目還支援多執行緒操作。 這使得在承載大量流量的網路中快速處理大量規則成為可能。 由於多線程支持,完全普通的伺服器能夠成功分析以 10 Gbit/s 的速度傳輸的流量。 在這種情況下,管理員不必限制用於流量分析的規則集。 Suricata 還支援雜湊和檔案檢索。
Suricata 可以使用產品中最近推出的功能配置為在常規伺服器或虛擬機器(例如 AWS)上運行 .
此專案支援Lua腳本,可用於建立複雜而詳細的邏輯來分析威脅簽章。
Suricata 計畫由開放式資訊安全基金會 (OISF) 管理。
6. 澤克(兄弟)
像蘇里卡塔一樣, (這個專案以前叫Bro,在BroCon 2018上更名為Zeek)也是入侵偵測系統和網路安全監控工具,可以偵測可疑或危險活動等異常狀況。 Zeek 與傳統 IDS 的不同之處在於,與偵測異常的基於規則的系統不同,Zeek 還捕獲與網路上發生的情況相關的元資料。 這樣做是為了更了解異常網路行為的背景。 例如,這允許透過分析 HTTP 呼叫或交換安全性憑證的過程來查看協定、封包標頭和網域名稱。
如果我們將 Zeek 視為網路安全工具,那麼我們可以說它為專家提供了透過了解事件之前或事件期間發生的情況來調查事件的機會。 Zeek 還將網路流量資料轉換為進階事件,並提供與腳本解釋器一起使用的能力。 解釋器支援一種程式語言,用於與事件互動並找出這些事件在網路安全方面的確切含義。 Zeek 程式語言可用於自訂元資料的解釋方式,以滿足特定組織的需求。 它允許您使用 AND、OR 和 NOT 運算符來建立複雜的邏輯條件。 這使用戶能夠自訂分析其環境的方式。 但要注意的是,與Suricata相比,Zeek在進行安全威脅偵察時似乎是個相當複雜的工具。
如果您對Zeek的更多詳情有興趣,請聯絡 視頻。
7. 黑豹
是一個強大的、原生的雲端原生平台,用於持續安全監控。 它最近被轉移到開源類別。 主要建築師是該專案的起源 — 自動化日誌分析的解決方案,其程式碼由 Airbnb 開源。 Panther 為使用者提供了一個單一系統,用於集中偵測所有環境中的威脅並組織回應。 該系統能夠隨著所服務的基礎設施的規模而成長。 威脅偵測基於透明、確定性的規則,以減少誤報和安全專業人員不必要的工作量。
Panther 的主要特點如下:
- 透過分析日誌來偵測對資源的未經授權的存取。
- 威脅偵測,透過搜尋日誌中指示安全問題的指標來實現。 搜尋是使用 Panter 的標準化資料欄位進行的。
- 使用以下命令檢查系統是否符合 SOC/PCI/HIPAA 標準 黑豹機制。
- 透過自動修正設定錯誤來保護您的雲端資源,這些錯誤如果被攻擊者利用可能會導致嚴重問題。
Panther 使用 AWS CloudFormation 部署在組織的 AWS 雲端。 這允許用戶始終控制他的數據。
結果
如今,監控系統安全是一項關鍵任務。 在解決這個問題時,任何規模的公司都可以透過開源工具得到幫助,這些工具提供了大量的機會,幾乎不需要任何成本或免費。
親愛的讀者! 您使用什麼安全監控工具?
來源: www.habr.com