Get best of the week

7 أدوات مراقبة أمن سحابة مفتوحة المصدر تستحق العلم

يساعد الاعتماد الواسع النطاق للحوسبة السحابية الشركات على توسيع نطاق أعمالها. لكن استخدام منصات جديدة يعني أيضًا ظهور تهديدات جديدة. إن دعم فريقك داخل المنظمة المسؤولة عن مراقبة أمان الخدمات السحابية ليس مهمة سهلة. أدوات مراقبة الطريق الحالية بطيئة. يصعب إدارتها ، إلى حد ما ، إذا كنت بحاجة إلى ضمان أمن البنية التحتية السحابية على نطاق واسع. من أجل الحفاظ على أمان السحابة على مستوى عالٍ ، تحتاج الشركات إلى أدوات قوية ومرنة ومفهومة تتجاوز قدراتها إمكانيات ما كان متاحًا من قبل. هذا هو المكان الذي تكون فيه التقنيات مفتوحة المصدر في متناول اليد ، مما يساعد على توفير ميزانيات الأمان ويتم إنشاؤها من قبل المتخصصين الذين يعرفون الكثير عن أعمالهم.



تقدم المقالة ، التي ننشر ترجمتها اليوم ، نظرة عامة على 7 أدوات مفتوحة المصدر لمراقبة أمن الأنظمة السحابية. تم تصميم هذه الأدوات للحماية من المتسللين ومجرمي الإنترنت من خلال الكشف عن الحالات الشاذة والإجراءات غير الآمنة.

1. Osquery


Osquery هو نظام للرصد والتحليل على مستوى منخفض لأنظمة التشغيل ، والذي يسمح لمتخصصي الأمن بإجراء أبحاث بيانات معقدة باستخدام SQL. يمكن تشغيل إطار عمل Osquery على Linux و macOS و Windows و FreeBSD. يمثل نظام تشغيل (OS) في شكل قاعدة بيانات علائقية عالية الأداء. هذا يسمح لمحترفي الأمن باستكشاف نظام التشغيل من خلال تنفيذ استعلامات SQL. على سبيل المثال ، باستخدام استعلام ، يمكنك معرفة المزيد عن العمليات قيد التشغيل ، ووحدات kernel المحملة ، واتصالات الشبكة المفتوحة ، وملحقات المستعرض المثبتة ، وأحداث الأجهزة ، وتجزئة الملف.

إطار Osquery الذي أنشأه Facebook. تم فتح رمزها في عام 2014 ، بعد أن أدركت الشركة أنها ليست هي نفسها بحاجة إلى الأدوات اللازمة لرصد الآليات ذات المستوى المنخفض لأنظمة التشغيل. منذ ذلك الحين ، يستخدم خبراء من شركات مثل Dactiv و Google و Kolide و Trail of Bits و Uptycs والعديد من الشركات الأخرى Osquery. تم الإعلان مؤخرًا عن أن مؤسسة Linux و Facebook ستشكلان صندوق دعم Osquery.

يتيح لك برنامج مراقبة المضيف Osquery ، المسمى osqueryd ، جدولة الطلبات لجمع البيانات من البنية الأساسية لمؤسستك. يقوم البرنامج الخفي بجمع نتائج الاستعلام وإنشاء سجلات تعكس التغييرات في حالة البنية التحتية. يمكن أن يساعد ذلك محترفي الأمن في مواكبة حالة النظام ويفيد بشكل خاص في الكشف عن الحالات الشاذة. يمكن استخدام قدرة Osquery على تجميع السجلات لتسهيل البحث عن البرامج الضارة المعروفة وغير المعروفة ، بالإضافة إلى تحديد الأماكن التي يخترق فيها المتسللون النظام والعثور على البرامج التي قاموا بتثبيتها. إليك المواد التي يمكنك من خلالها العثور على تفاصيل حول اكتشاف الحالات الشاذة باستخدام Osquery.

2. GoAudit


يتكون نظام تدقيق لينكس من مكونين رئيسيين. الأول هو نوع من كود مستوى النواة مصمم لاعتراض ومراقبة مكالمات النظام. المكون الثاني هو البرنامج الخفي لمساحة المستخدم يسمى Auditd . وهو مسؤول عن كتابة نتائج التدقيق على القرص. GoAudit ، نظام تم إنشاؤه بواسطة Slackوصدر في عام 2016 ، ويهدف إلى استبدال Auditd. لقد قام بتحسين إمكانيات التسجيل عن طريق تحويل رسائل الأحداث متعددة الأسطر التي تم إنشاؤها بواسطة نظام تدقيق Linux إلى نقاط JSON واحدة ، مما يبسط التحليل. بفضل GoAudit ، يمكنك الوصول مباشرة إلى آليات على مستوى kernel عبر الشبكة. بالإضافة إلى ذلك ، يمكنك تمكين الحد الأدنى من تصفية الأحداث على المضيف نفسه (أو تعطيل التصفية تمامًا). في نفس الوقت ، GoAudit هو مشروع مصمم ليس فقط للأمن. تم تصميم هذه الأداة كأداة متعددة الوظائف للمهنيين المشاركين في دعم النظام أو تطويره. يساعد على التعامل مع مشاكل البنى التحتية واسعة النطاق.

GoAudit مكتوب باللغة Golang. إنها لغة آمنة وعالية الأداء. قبل تثبيت GoAudit ، تحقق من أن إصدار Golang أعلى من 1.7.

3. Grapl


تم نقل مشروع Grapl (منصة تحليلات الرسم البياني) إلى فئة المصدر المفتوح في مارس من العام الماضي. تعد هذه منصة جديدة نسبيًا للكشف عن المشكلات الأمنية وإجراء الطب الشرعي لعلوم الطب الشرعي ولإعداد تقارير الحوادث. غالبًا ما يعمل المهاجمون باستخدام شيء مثل نموذج الرسم البياني ، ويسيطرون على نظام معين ويبحثون في أنظمة الشبكات الأخرى ، بدءًا من هذا النظام. لذلك ، من الطبيعي جدًا أن يستخدم دعاة النظام أيضًا آلية تستند إلى نموذج الرسم البياني لاتصالات أنظمة الشبكة ، مع مراعاة خصوصيات العلاقات بين الأنظمة. يوضح Grapl محاولة اتخاذ تدابير لتحديد الحوادث والاستجابة لها بناءً على نموذج الرسم البياني بدلاً من نموذج السجل.

تقبل أداة Grapl السجلات ذات الصلة بالأمان (سجلات Sysmon أو السجلات بتنسيق JSON العادي) وتحولها إلى رسومات فرعية (تحديد "معلومات الهوية" لكل عقدة). بعد ذلك ، قام بدمج الرسومات الفرعية في رسم بياني مشترك (Master Graph) ، والذي يمثل الإجراءات التي تم تنفيذها في البيئات التي تم تحليلها. ثم يقوم Grapl بتشغيل محللات على الرسم البياني باستخدام "توقيعات المهاجم" لتحديد الشذوذ والأنماط المشبوهة. عندما يكتشف المحلل رسمًا فرعيًا مشبوهًا ، ينشئ Grapl بنية تفاعل للتحقيقات. المشاركة هي فئة Python يمكن تنزيلها ، على سبيل المثال ، إلى Jupyter Notebook المنتشرة في بيئة AWS. علاوة على ذلكقادرة على زيادة جمع المعلومات للتحقيق في الحوادث من خلال توسيع الرسم البياني.

إذا كنت ترغب في فهم Grapl بشكل أفضل ، فيمكنك مشاهدة تسجيل الفيديو المثير للاهتمام هذا للأداء من BSides Las Vegas 2019.

4. OSSEC


OSSEC هو مشروع تأسس في عام 2004. يمكن وصف هذا المشروع ، بشكل عام ، بأنه منصة مراقبة أمنية مفتوحة المصدر مصممة لتحليل المضيف وكشف التسلل. يتم تنزيل OSSEC أكثر من 500000 مرة سنويًا. تستخدم هذه المنصة بشكل أساسي كوسيلة للكشف عن التطفل على الخوادم. علاوة على ذلك ، نحن نتحدث عن كل من الأنظمة المحلية والسحابية. بالإضافة إلى ذلك ، يُستخدم OSSEC غالبًا كأداة لدراسة السجلات لرصد وتحليل جدران الحماية ، وأنظمة كشف التسلل ، وخوادم الويب ، وكذلك لدراسة سجلات المصادقة.

يجمع OSSEC بين إمكانات نظام اكتشاف الاختراق (HIDS) ونظام أمان إدارة الحوادث الأمنية (SIM) ونظام SIEM (معلومات الأمان وإدارة الأحداث) . لدى OSSEC أيضًا القدرة على مراقبة تكامل الملف في الوقت الفعلي. هذا ، على سبيل المثال ، مراقبة تسجيل Windows ، والكشف عن الجذور الخفية. يمكن لـ OSSEC إخطار الأطراف المهتمة بالمشاكل المكتشفة في الوقت الحقيقي ويساعد على الاستجابة بسرعة للتهديدات المكتشفة. يدعم هذا النظام الأساسي Microsoft Windows ومعظم الأنظمة الشبيهة بـ Unix الحديثة ، بما في ذلك Linux و FreeBSD و OpenBSD و Solaris.

تتكون منصة OSSEC من كيان إداري مركزي ، مدير يستخدم لتلقي ومراقبة المعلومات من الوكلاء (البرامج الصغيرة المثبتة في الأنظمة التي تحتاج إلى المراقبة). يتم تثبيت المدير على نظام Linux يخزن قاعدة البيانات المستخدمة للتحقق من تكامل الملف. كما يقوم بتخزين سجلات وسجلات الأحداث ونتائج مراجعة النظام.

يتم دعم OSSEC حاليًا بواسطة Atomicorp. تشرف الشركة على نسخة مجانية مفتوحة المصدر ، بالإضافة إلى ذلك ، تقدم نسخة تجارية موسعة من المنتج. هنابودكاست يتحدث فيه مدير مشروع OSSEC عن أحدث إصدار من النظام - OSSEC 3.0. كما يناقش تاريخ المشروع ، وكيف يختلف عن النظم التجارية الحديثة المستخدمة في مجال أمن الكمبيوتر.

5. سوريكاتا


Suricata هو مشروع مفتوح المصدر يركز على حل المهام الرئيسية لضمان أمان الكمبيوتر. على وجه الخصوص ، يتضمن نظام كشف التسلل ، ونظام منع التسلل ، وأداة لمراقبة أمن الشبكة.

ظهر هذا المنتج في عام 2009. يعتمد عمله على القواعد. أي أن الشخص الذي يستخدمه لديه الفرصة لوصف ميزات معينة لحركة مرور الشبكة. إذا تم تشغيل القاعدة ، فسيقوم Suricata بإنشاء إشعار أو حظر أو قطع الاتصال المشبوه ، والذي يعتمد مرة أخرى على القواعد المحددة. بالإضافة إلى ذلك ، يدعم المشروع عملية متعددة الخيوط. هذا يجعل من الممكن معالجة عدد كبير من القواعد بسرعة في الشبكات التي تمر من خلالها كميات كبيرة من حركة المرور. بفضل دعم مؤشرات الترابط المتعددة ، يستطيع الخادم العادي تمامًا تحليل حركة المرور بنجاح بسرعة 10 جيجابت / ثانية. في الوقت نفسه ، لا يتعين على المسؤول تحديد مجموعة القواعد المستخدمة لتحليل حركة المرور. كما تدعم Suricata التجزئة واستخراج الملفات.

يمكن تكوين Suricata للعمل على خوادم عادية أو على أجهزة افتراضية ، مثل AWS ، باستخدام ميزة مراقبة حركة المرور التي ظهرت مؤخرًا في المنتج .

يدعم المشروع نصوص Lua ، والتي يمكنك من خلالها إنشاء منطق معقد ومفصل لتحليل توقيعات التهديد.

يتم التعامل مع مشروع سوريكاتا من قبل مؤسسة أمن المعلومات المفتوحة (OISF).

6. Zeek (Bro)


مثل Suricata ، يعد Zeek (الذي كان يُطلق عليه سابقًا Bro وأعيد تسميته Zeek في حدث BroCon 2018) أيضًا نظامًا لكشف التسلل وأداة مراقبة أمان الشبكة التي يمكنها اكتشاف الحالات الشاذة ، مثل الأنشطة المشبوهة أو الخطيرة. يختلف Zeek عن IDS التقليدية في أنه ، على عكس الأنظمة المستندة إلى القواعد التي تكشف عن الاستثناءات ، يلتقط Zeek أيضًا البيانات الوصفية المتعلقة بما يحدث على الشبكة. يتم ذلك من أجل فهم سياق السلوك غير المعتاد للشبكة بشكل أفضل. يسمح هذا ، على سبيل المثال ، بتحليل مكالمة HTTP أو إجراء تبادل شهادات الأمان ، للنظر في البروتوكول ، في رؤوس الحزم ، في أسماء النطاقات.

إذا اعتبرنا Zeek أداة أمان للشبكة ، فيمكننا القول إنها تتيح للأخصائي الفرصة للتحقيق في الحادث ، والتعرف على ما حدث قبل الحادث أو أثناءه. بالإضافة إلى ذلك ، يقوم Zeek بتحويل بيانات حركة مرور الشبكة إلى أحداث رفيعة المستوى ويجعل من الممكن العمل مع مترجم البرنامج النصي. يدعم المترجم لغة البرمجة المستخدمة لتنظيم التفاعل مع الأحداث ومعرفة ما تعنيه هذه الأحداث بالضبط من حيث أمان الشبكة. يمكن استخدام لغة برمجة Zeek لتخصيص تفسير البيانات الوصفية حسب الحاجة من قبل منظمة معينة. يسمح لك ببناء شروط منطقية معقدة باستخدام عوامل التشغيل AND و OR و NOT. وهذا يمنح المستخدمين القدرة على تخصيص تحليل بيئاتهم. صحيح ، يجب ملاحظة ذلكوالتي ، بالمقارنة مع Suricata ، قد يبدو Zeek كأداة متطورة إلى حد ما عند إجراء استطلاع للتهديدات الأمنية.

إذا كنت مهتمًا بتفاصيل Zeek ، فراجع هذا الفيديو.

7. النمر


يعد Panther نظامًا قويًا قائمًا على السحابة في البداية للمراقبة الأمنية المستمرة. تم نقلها إلى فئة المصادر المفتوحة مؤخرًا. إن مهندسي المشروع هم المهندس الرئيسي لشركة StreamAlert ، وهو حل تحليل سجلات آلي تم فتح رمزه بواسطة Airbnb. يوفر Panther للمستخدم نظامًا واحدًا للكشف المركزي عن التهديدات في جميع البيئات ولتنظيم الاستجابات لها. هذا النظام قادر على النمو مع حجم البنية التحتية المخدومة. يتم تنظيم الكشف عن التهديدات باستخدام قواعد حتمية شفافة ، والتي تم إجراؤها من أجل تقليل نسبة الإيجابيات الكاذبة وتقليل مستوى الحمل غير الضروري على المتخصصين في الأمن.

من بين الميزات الرئيسية لـ Panther ما يلي:

  • الكشف عن الوصول غير المصرح به إلى الموارد عن طريق تحليل السجلات.
  • ابحث عن التهديدات ، نفذت من خلال البحث في سجلات المؤشرات التي تشير إلى مشاكل أمنية. يتم إجراء عمليات البحث باستخدام حقول بيانات Panter القياسية.
  • التحقق من النظام للتوافق مع معايير SOC / PCI / HIPAA باستخدام آليات Panther المضمنة .
  • حماية موارد السحابة عن طريق التصحيح التلقائي لأخطاء التكوين التي يمكن أن تؤدي إلى مشاكل خطيرة إذا تم استغلالها من قبلهم.

يتم نشر النمر في سحابة منظمة AWS باستخدام AWS CloudFormation. هذا يسمح للمستخدم بالتحكم دائما في بياناته.

ملخص


تعتبر مراقبة نظام الأمن اليوم أهم مهمة. يمكن أن تساعد الأدوات مفتوحة المصدر الشركات من جميع الأحجام على حل هذه المشكلة ، فهي توفر الكثير من الفرص وهي لا قيمة لها تقريبًا أو مجانية.

القراء الأعزاء! ما أدوات مراقبة الأمن التي تستخدمها؟

More articles:


All Articles