Get best of the week

7 wissenswerte Open Source-Tools zur Überwachung der Cloud-Sicherheit

Die weit verbreitete Einführung von Cloud Computing hilft Unternehmen, ihre Geschäfte zu skalieren. Die Nutzung neuer Plattformen bedeutet aber auch die Entstehung neuer Bedrohungen. Die Unterstützung Ihres eigenen Teams innerhalb der Organisation, die für die Überwachung der Sicherheit von Cloud-Diensten verantwortlich ist, ist keine leichte Aufgabe. Bestehende Tools zur Straßenüberwachung sind langsam. Sie sind bis zu einem gewissen Grad schwierig zu verwalten, wenn Sie die Sicherheit einer großen Cloud-Infrastruktur gewährleisten müssen. Um ihre Cloud-Sicherheit auf einem hohen Niveau zu halten, benötigen Unternehmen leistungsstarke, flexible und verständliche Tools, deren Funktionen die zuvor verfügbaren Funktionen übertreffen. Hier bieten sich Open Source-Technologien an, mit denen Sicherheitsbudgets gespart werden können. Sie werden von Spezialisten entwickelt, die viel über ihr Geschäft wissen.



Der Artikel, dessen Übersetzung wir heute veröffentlichen, bietet einen Überblick über 7 Open Source-Tools zur Überwachung der Sicherheit von Cloud-Systemen. Diese Tools schützen vor Hackern und Cyberkriminellen, indem sie Anomalien und unsichere Aktionen erkennen.

1. Osquery


Osquery ist ein System zur Überwachung und Analyse von Betriebssystemen auf niedriger Ebene, mit dem Sicherheitsexperten komplexe Datenrecherchen mit SQL durchführen können. Das Osquery-Framework kann unter Linux, MacOS, Windows und FreeBSD ausgeführt werden. Es stellt ein Betriebssystem (OS) in Form einer relationalen Hochleistungsdatenbank dar. Auf diese Weise können Sicherheitsexperten das Betriebssystem durch Ausführen von SQL-Abfragen erkunden. Mithilfe einer Abfrage können Sie beispielsweise Informationen zum Ausführen von Prozessen, geladenen Kernelmodulen, offenen Netzwerkverbindungen, installierten Browsererweiterungen, Hardwareereignissen und Datei-Hashes erhalten.

Osquery Framework von Facebook erstellt. Der Code wurde 2014 eröffnet, nachdem das Unternehmen feststellte, dass sie nicht nur Tools zur Überwachung der Mechanismen auf niedriger Ebene von Betriebssystemen benötigte. Seitdem verwenden Experten von Unternehmen wie Dactiv, Google, Kolide, Trail of Bits, Uptycs und vielen anderen Osquery. Kürzlich wurde bekannt gegeben, dass die Linux Foundation und Facebook den Osquery Support Fund bilden werden.

Mit dem Osquery-Hostüberwachungsdämon namens osqueryd können Sie Anforderungen zum Sammeln von Daten aus der gesamten Infrastruktur Ihres Unternehmens planen. Der Dämon sammelt Abfrageergebnisse und erstellt Protokolle, die Änderungen im Status der Infrastruktur widerspiegeln. Dies kann Sicherheitsexperten helfen, sich über den Status des Systems auf dem Laufenden zu halten, und ist besonders nützlich, um Anomalien zu erkennen. Die Fähigkeit von Osquery, Protokolle zu aggregieren, kann verwendet werden, um die Suche nach bekannter und unbekannter Malware zu erleichtern sowie die Stellen zu identifizieren, an denen Eindringlinge in das System eindringen, und die von ihnen installierten Programme zu finden. In diesem Material finden Sie Details zum Erkennen von Anomalien mithilfe von Osquery.

2. GoAudit


Linux Revisionssystem besteht aus zwei Hauptkomponenten. Der erste ist eine Art Code auf Kernel-Ebene, der zum Abfangen und Überwachen von Systemaufrufen entwickelt wurde. Die zweite Komponente ist ein User-Space- Daemon namens auditd . Er ist dafür verantwortlich, die Prüfungsergebnisse auf die Festplatte zu schreiben. GoAudit , ein von Slack entwickeltes Systemund im Jahr 2016 veröffentlicht, soll auditd ersetzen. Die Protokollierungsfunktionen wurden verbessert, indem vom Linux-Überwachungssystem generierte mehrzeilige Ereignismeldungen in einzelne JSON-Blobs konvertiert wurden, was die Analyse vereinfacht. Dank GoAudit können Sie über das Netzwerk direkt auf Mechanismen auf Kernelebene zugreifen. Darüber hinaus können Sie die minimale Filterung von Ereignissen auf dem Host selbst aktivieren (oder die Filterung vollständig deaktivieren). Gleichzeitig ist GoAudit ein Projekt, das nicht nur der Sicherheit dient. Dieses Tool ist als multifunktionales Tool für Fachleute konzipiert, die an der Systemunterstützung oder -entwicklung beteiligt sind. Es hilft, Probleme in großen Infrastrukturen zu lösen.

GoAudit ist in Golang geschrieben. Es ist eine typsichere und leistungsstarke Sprache. Stellen Sie vor der Installation von GoAudit sicher, dass Ihre Version von Golang über 1.7 liegt.

3. Grapl


Das Grapl- Projekt (Graph Analytics Platform) wurde im März letzten Jahres in die Open Source-Kategorie übertragen. Dies ist eine relativ neue Plattform zur Erkennung von Sicherheitsproblemen, zur Durchführung forensischer Forensik und zur Erstellung von Ereignisberichten. Angreifer arbeiten häufig mit einem Diagrammmodell, erlangen die Kontrolle über ein bestimmtes System und untersuchen andere Netzwerksysteme, beginnend mit diesem System. Daher ist es ganz natürlich, dass Systemanwälte auch einen Mechanismus verwenden, der auf einem Modell des Verbindungsgraphen von Netzwerksystemen basiert, das die Eigenschaften der Beziehungen zwischen Systemen berücksichtigt. Grapl zeigt den Versuch, Maßnahmen zu ergreifen, um Vorfälle anhand eines Diagrammmodells und nicht anhand eines Protokollmodells zu identifizieren und darauf zu reagieren.

Das Grapl-Tool akzeptiert sicherheitsrelevante Protokolle (Sysmon-Protokolle oder Protokolle im normalen JSON-Format) und konvertiert sie in Untergraphen (Definition der "Identitätsinformationen" für jeden Knoten). Danach kombiniert er die Untergraphen zu einem gemeinsamen Diagramm (Master-Diagramm), das die in den analysierten Umgebungen ausgeführten Aktionen darstellt. Grapl führt dann Analysatoren in der Grafik aus, wobei die „Angreifersignaturen“ verwendet werden, um Anomalien und verdächtige Muster zu identifizieren. Wenn der Analysator einen verdächtigen Teilgraphen erkennt, generiert Grapl ein Engagement-Konstrukt für Untersuchungen. Engagement ist eine Python-Klasse, die beispielsweise in ein Jupyter-Notizbuch heruntergeladen werden kann, das in einer AWS-Umgebung bereitgestellt wird. Grapl außerdemDurch die Erweiterung des Diagramms kann die Sammlung von Informationen für die Untersuchung von Vorfällen erweitert werden.

Wenn Sie Grapl besser verstehen möchten, können Sie sich diese interessante Videoaufnahme der Leistung von BSides Las Vegas 2019 ansehen.

4. OSSEC


OSSEC ist ein 2004 gegründetes Projekt. Dieses Projekt kann im Allgemeinen als Open-Source-Sicherheitsüberwachungsplattform beschrieben werden, die für die Hostanalyse und Intrusion Detection entwickelt wurde. OSSEC wird über 500.000 Mal pro Jahr heruntergeladen. Diese Plattform wird hauptsächlich zum Erkennen von Eindringlingen auf Servern verwendet. Darüber hinaus sprechen wir sowohl über lokale als auch über Cloud-Systeme. Darüber hinaus wird OSSEC häufig als Tool zum Studieren von Protokollen zur Überwachung und Analyse von Firewalls, Intrusion Detection-Systemen, Webservern sowie zum Studieren von Authentifizierungsprotokollen verwendet.

OSSEC kombiniert die Funktionen eines hostbasierten Intrusion Detection Systems (HIDS) mit einem SIM-Sicherheitssystem (Security Incident Management) und SIEM (Security Information and Event Management). . OSSEC kann auch die Dateiintegrität in Echtzeit überwachen. Dies überwacht beispielsweise die Windows-Registrierung und erkennt Rootkits. OSSEC kann interessierte Parteien in Echtzeit über erkannte Probleme informieren und hilft, schnell auf erkannte Bedrohungen zu reagieren. Diese Plattform unterstützt Microsoft Windows und die meisten modernen Unix-ähnlichen Systeme, einschließlich Linux, FreeBSD, OpenBSD und Solaris.

Die OSSEC-Plattform besteht aus einer zentralen Verwaltungseinheit, einem Manager, der zum Empfangen und Überwachen von Informationen von Agenten verwendet wird (kleine Programme, die in Systemen installiert sind, die überwacht werden müssen). Der Manager ist auf einem Linux-System installiert, auf dem die Datenbank gespeichert ist, mit der die Dateiintegrität überprüft wird. Außerdem werden Protokolle und Aufzeichnungen von Ereignissen und Systemprüfungsergebnissen gespeichert.

OSSEC wird derzeit von Atomicorp unterstützt. Das Unternehmen überwacht die kostenlose Open Source-Version und bietet darüber hinaus eine erweiterte kommerzielle Version des Produkts an. HierPodcast, in dem der OSSEC-Projektmanager über die neueste Version des Systems spricht - OSSEC 3.0. Es wird auch die Geschichte des Projekts und seine Unterschiede zu modernen kommerziellen Systemen im Bereich der Computersicherheit erörtert.

5. Suricata


Suricata ist ein Open-Source-Projekt, das sich auf die Lösung der Hauptaufgaben zur Gewährleistung der Computersicherheit konzentriert. Insbesondere umfasst es ein Intrusion Detection-System, ein Intrusion Prevention-System und ein Tool zur Überwachung der Netzwerksicherheit.

Dieses Produkt erschien im Jahr 2009. Seine Arbeit basiert auf Regeln. Das heißt, derjenige, der es verwendet, hat die Möglichkeit, bestimmte Merkmale des Netzwerkverkehrs zu beschreiben. Wenn die Regel ausgelöst wird, generiert Suricata eine Benachrichtigung, die die verdächtige Verbindung blockiert oder unterbricht, was wiederum von den angegebenen Regeln abhängt. Das Projekt unterstützt außerdem den Multithread-Betrieb. Dies ermöglicht die schnelle Verarbeitung einer großen Anzahl von Regeln in Netzwerken, durch die große Verkehrsmengen geleitet werden. Dank der Multithreading-Unterstützung kann ein ganz normaler Server den Datenverkehr mit einer Geschwindigkeit von 10 Gbit / s erfolgreich analysieren. Gleichzeitig muss der Administrator die Regeln für die Analyse des Datenverkehrs nicht einschränken. Suricata unterstützt auch Hashing und Dateiextraktion.

Suricata kann mithilfe der kürzlich im Produkt enthaltenen Verkehrsüberwachungsfunktion so konfiguriert werden, dass sie auf normalen Servern oder auf virtuellen Maschinen wie AWS funktioniert .

Das Projekt unterstützt Lua-Skripte, mit denen Sie komplexe und detaillierte Logik zur Analyse von Bedrohungssignaturen erstellen können.

Das Suricata-Projekt wird von der Open Information Security Foundation (OISF) verwaltet.

6. Zeek (Bro)


Wie Suricata ist auch Zeek (früher Bro genannt und auf der BroCon 2018 in Zeek umbenannt) ein Intrusion Detection-System und ein Tool zur Überwachung der Netzwerksicherheit, mit dem Anomalien wie verdächtige oder gefährliche Aktivitäten erkannt werden können. Zeek unterscheidet sich von herkömmlichen IDS darin, dass Zeek im Gegensatz zu regelbasierten Systemen, die Ausnahmen erkennen, auch Metadaten erfasst, die mit den Vorgängen im Netzwerk verknüpft sind. Dies geschieht, um den Kontext ungewöhnlichen Netzwerkverhaltens besser zu verstehen. Dies ermöglicht beispielsweise die Analyse eines HTTP-Aufrufs oder das Verfahren zum Austausch von Sicherheitszertifikaten, um das Protokoll, Paket-Header und Domänennamen zu überprüfen.

Wenn wir Zeek als Netzwerksicherheitstool betrachten, können wir sagen, dass es dem Spezialisten die Möglichkeit gibt, den Vorfall zu untersuchen und zu erfahren, was vor oder während des Vorfalls passiert ist. Zeek konvertiert außerdem Netzwerkverkehrsdaten in Ereignisse auf hoher Ebene und ermöglicht die Arbeit mit einem Skriptinterpreter. Der Interpreter unterstützt die Programmiersprache, mit der die Interaktion mit Ereignissen organisiert und herausgefunden wird, was genau diese Ereignisse für die Netzwerksicherheit bedeuten. Mit der Programmiersprache Zeek können Sie die Interpretation von Metadaten nach Bedarf einer bestimmten Organisation anpassen. Mit den Operatoren AND, OR und NOT können Sie komplexe logische Bedingungen erstellen. Dies gibt Benutzern die Möglichkeit, die Analyse ihrer Umgebungen anzupassen. Es ist wahr, es sollte beachtet werdenZeek scheint im Vergleich zu Suricata ein ziemlich ausgeklügeltes Werkzeug zu sein, wenn es um Sicherheitsbedrohungen geht.

Wenn Sie an Zeek-Details interessiert sind, sehen Sie sich dieses Video an.

7. Panther


Panther ist eine leistungsstarke, zunächst Cloud-basierte Plattform für die kontinuierliche Sicherheitsüberwachung. Sie wurde kürzlich in die Kategorie Open Source versetzt. Die Architekten des Projekts sind der Hauptarchitekt von StreamAlert , eine automatisierte Protokollanalyselösung, deren Code von Airbnb geöffnet wurde. Panther bietet dem Benutzer ein einziges System, um Bedrohungen in allen Umgebungen zentral zu erkennen und Antworten darauf zu organisieren. Dieses System kann mit der Größe der bereitgestellten Infrastruktur wachsen. Die Erkennung von Bedrohungen wird mithilfe transparenter deterministischer Regeln organisiert, um den Prozentsatz falsch positiver Ergebnisse zu verringern und die unnötige Belastung von Sicherheitsspezialisten zu verringern.

Zu den Hauptmerkmalen von Panther gehören:

  • Erkennung von nicht autorisiertem Zugriff auf Ressourcen durch Analyse von Protokollen.
  • Suche nach Bedrohungen, implementiert durch eine Suche in den Protokollen der Indikatoren, die auf Sicherheitsprobleme hinweisen. Die Suche erfolgt mit standardisierten Panter-Datenfeldern.
  • Überprüfen des Systems auf Übereinstimmung mit den SOC / PCI / HIPAA-Standards mithilfe der in Panther integrierten Mechanismen.
  • Schutz der Cloud-Ressourcen durch automatische Korrektur von Konfigurationsfehlern, deren Ausnutzung zu ernsthaften Problemen führen kann.

Panther wird mithilfe von AWS CloudFormation in einer AWS-Organisationswolke bereitgestellt. Dadurch kann der Benutzer seine Daten immer kontrollieren.

Zusammenfassung


Die Überwachung der Systemsicherheit ist heute die wichtigste Aufgabe. Open-Source-Tools können Unternehmen jeder Größe bei der Lösung dieses Problems helfen. Sie bieten viele Möglichkeiten und sind nahezu wertlos oder kostenlos.

Liebe Leser! Welche Sicherheitsüberwachungstools verwenden Sie?

More articles:


All Articles