Get best of the week

7 herramientas de monitoreo de seguridad en la nube de código abierto que vale la pena conocer

La adopción generalizada de la computación en la nube está ayudando a las empresas a escalar sus negocios. Pero el uso de nuevas plataformas también significa la aparición de nuevas amenazas. Apoyar a su propio equipo dentro de la organización responsable de monitorear la seguridad de los servicios en la nube no es una tarea fácil. Las herramientas de monitoreo de carreteras existentes son lentas. Son, hasta cierto punto, difíciles de administrar si necesita garantizar la seguridad de la infraestructura de nube a gran escala. Para mantener su seguridad en la nube a un alto nivel, las empresas necesitan herramientas potentes, flexibles y comprensibles cuyas capacidades excedan las capacidades de lo que estaba disponible antes. Aquí es donde las tecnologías de código abierto son útiles, que ayudan a ahorrar presupuestos de seguridad y son creadas por especialistas que saben mucho sobre su negocio.



El artículo, cuya traducción publicamos hoy, proporciona una visión general de 7 herramientas de código abierto para monitorear la seguridad de los sistemas en la nube. Estas herramientas están diseñadas para proteger contra piratas informáticos y cibercriminales mediante la detección de anomalías y acciones inseguras.

1. Osquery


Osquery es un sistema de monitoreo y análisis de bajo nivel de sistemas operativos, que permite a los profesionales de seguridad realizar investigaciones complejas de datos utilizando SQL. El marco Osquery puede ejecutarse en Linux, macOS, Windows y FreeBSD. Representa un sistema operativo (SO) en forma de una base de datos relacional de alto rendimiento. Esto permite a los profesionales de seguridad explorar el sistema operativo mediante la ejecución de consultas SQL. Por ejemplo, mediante una consulta, puede obtener información sobre procesos en ejecución, módulos de kernel cargados, conexiones de red abiertas, extensiones de navegador instaladas, eventos de hardware y hashes de archivos.

Marco de Osquery creado por Facebook. Su código se abrió en 2014, después de que la compañía se dio cuenta de que no solo necesitaba herramientas para monitorear los mecanismos de bajo nivel de los sistemas operativos. Desde entonces, expertos de compañías como Dactiv, Google, Kolide, Trail of Bits, Uptycs y muchos otros han estado usando Osquery. Recientemente se ha anunciado que Linux Foundation y Facebook van a formar el Fondo de soporte de Osquery.

El demonio de monitoreo de host Osquery, llamado osqueryd, le permite programar solicitudes para recopilar datos de la infraestructura de su organización. El daemon recopila resultados de consultas y crea registros que reflejan cambios en el estado de la infraestructura. Esto puede ayudar a los profesionales de seguridad a mantenerse al tanto del estado del sistema y es especialmente útil para detectar anomalías. La capacidad de Osquery para agregar registros se puede utilizar para facilitar la búsqueda de malware conocido y desconocido, así como para identificar los lugares donde los intrusos ingresan al sistema y encontrar los programas que instalaron. Aquí está el material donde puede encontrar detalles sobre la detección de anomalías con Osquery.

2. GoAudit


Auditoría Linux sistema consiste en dos componentes principales. El primero es un tipo de código a nivel de núcleo diseñado para interceptar y monitorear llamadas del sistema. El segundo componente es un demonio de espacio de usuario llamado auditd . Es responsable de escribir los resultados de la auditoría en el disco. GoAudit , un sistema creado por Slacky lanzado en 2016, está destinado a reemplazar auditado. Ha mejorado las capacidades de registro al convertir mensajes de eventos de varias líneas generados por el sistema de auditoría de Linux en blobs JSON individuales, lo que simplifica el análisis. Gracias a GoAudit, puede acceder directamente a los mecanismos a nivel de kernel a través de la red. Además, puede habilitar el filtrado mínimo de eventos en el propio host (o deshabilitar completamente el filtrado). Al mismo tiempo, GoAudit es un proyecto diseñado no solo por seguridad. Esta herramienta está diseñada como una herramienta multifuncional para profesionales involucrados en el soporte o desarrollo de sistemas. Ayuda a resolver problemas en infraestructuras a gran escala.

GoAudit está escrito en Golang. Es un lenguaje de tipo seguro y de alto rendimiento. Antes de instalar GoAudit, verifique que su versión de Golang sea superior a 1.7.

3. Grapl


El proyecto Grapl (Graph Analytics Platform) se transfirió a la categoría de código abierto en marzo del año pasado. Esta es una plataforma relativamente nueva para detectar problemas de seguridad, realizar análisis forenses de ciencias forenses y generar informes de incidentes. Los atacantes a menudo trabajan usando algo como un modelo gráfico, obteniendo control sobre un sistema en particular e investigando otros sistemas de red, comenzando con este sistema. Por lo tanto, es bastante natural que los defensores del sistema también usen un mecanismo basado en un modelo de la gráfica de conexiones de sistemas de red que tenga en cuenta las características de las relaciones entre sistemas. Grapl demuestra un intento de tomar medidas para identificar y responder a incidentes basados ​​en un modelo gráfico en lugar de un modelo de registro.

La herramienta Grapl acepta registros relacionados con la seguridad (registros de Sysmon o registros en el formato JSON normal) y los convierte en subgráficos (que definen la "información de identidad" para cada nodo). Después de eso, combina las subgrafías en un gráfico común (Master Graph), que representa las acciones realizadas en los entornos analizados. Luego, Grapl ejecuta Analizadores en el gráfico utilizando las "firmas del atacante" para identificar anomalías y patrones sospechosos. Cuando el analizador detecta una subgrafía sospechosa, Grapl genera una construcción de Compromiso para las investigaciones. Engagement es una clase de Python que se puede descargar, por ejemplo, en un Jupyter Notebook implementado en un entorno de AWS. Grapl ademáscapaz de aumentar la recopilación de información para la investigación de incidentes a través de la expansión del gráfico.

Si desea comprender mejor a Grapl, puede ver esta interesante grabación de video de la actuación de BSides Las Vegas 2019.

4. OSSEC


OSSEC es un proyecto fundado en 2004. Este proyecto, en general, puede describirse como una plataforma de monitoreo de seguridad de código abierto diseñada para análisis de host y detección de intrusos. OSSEC se descarga más de 500,000 veces al año. Esta plataforma se utiliza principalmente como un medio para detectar intrusiones en los servidores. Además, estamos hablando de sistemas locales y en la nube. Además, OSSEC se usa a menudo como una herramienta para estudiar registros para monitorear y analizar firewalls, sistemas de detección de intrusos, servidores web, así como para estudiar registros de autenticación.

OSSEC combina las capacidades de un sistema de detección de intrusiones basado en host (HIDS) con un sistema de seguridad de gestión de incidentes de seguridad (SIM) y SIEM (información de seguridad y gestión de eventos) . OSSEC también tiene la capacidad de monitorear la integridad de los archivos en tiempo real. Esto, por ejemplo, monitorear el registro de Windows, detectar rootkits. OSSEC puede notificar a las partes interesadas sobre los problemas detectados en tiempo real y ayuda a responder rápidamente a las amenazas detectadas. Esta plataforma es compatible con Microsoft Windows y la mayoría de los sistemas modernos tipo Unix, incluidos Linux, FreeBSD, OpenBSD y Solaris.

La plataforma OSSEC consta de una entidad de gestión central, un administrador utilizado para recibir y monitorear la información de los agentes (pequeños programas instalados en sistemas que necesitan ser monitoreados). El administrador se instala en un sistema Linux que almacena la base de datos utilizada para verificar la integridad del archivo. También almacena registros y registros de eventos y resultados de auditoría del sistema.

OSSEC es actualmente compatible con Atomicorp. La compañía supervisa la versión gratuita de código abierto y, además, ofrece una versión comercial extendida del producto. aquípodcast en el que el gerente de proyecto OSSEC habla sobre la última versión del sistema: OSSEC 3.0. También discute la historia del proyecto y cómo difiere de los sistemas comerciales modernos utilizados en el campo de la seguridad informática.

5. Suricata


Suricata es un proyecto de código abierto centrado en resolver las tareas principales de garantizar la seguridad informática. En particular, incluye un sistema de detección de intrusos, un sistema de prevención de intrusos y una herramienta para monitorear la seguridad de la red.

Este producto apareció en 2009. Su trabajo se basa en reglas. Es decir, quien lo usa tiene la oportunidad de describir ciertas características del tráfico de red. Si se activa la regla, Suricata genera una notificación, bloqueando o rompiendo la conexión sospechosa, que, de nuevo, depende de las reglas especificadas. El proyecto, además, admite operaciones de subprocesos múltiples. Esto permite procesar rápidamente una gran cantidad de reglas en redes a través de las cuales pasan grandes volúmenes de tráfico. Gracias a la compatibilidad con subprocesos múltiples, un servidor completamente normal puede analizar con éxito el tráfico a una velocidad de 10 Gb / s. En este caso, el administrador no tiene que limitar el conjunto de reglas utilizadas para analizar el tráfico. Suricata también admite hashing y extracción de archivos.

Suricata se puede configurar para trabajar en servidores regulares o en máquinas virtuales, como AWS, utilizando la función de monitoreo de tráfico que apareció recientemente en el producto .

El proyecto admite scripts Lua, con los cuales puede crear una lógica compleja y detallada para analizar firmas de amenazas.

El proyecto Suricata es manejado por la Open Information Security Foundation (OISF).

6. Zeek (hermano)


Al igual que Suricata, Zeek (anteriormente llamado Bro y renombrado Zeek en el evento BroCon 2018) también es un sistema de detección de intrusos y una herramienta de monitoreo de seguridad de red que puede detectar anomalías, como actividades sospechosas o peligrosas. Zeek difiere de los IDS tradicionales en que, a diferencia de los sistemas basados ​​en reglas que detectan excepciones, Zeek también captura metadatos relacionados con lo que sucede en la red. Esto se hace para comprender mejor el contexto del comportamiento inusual de la red. Esto permite, por ejemplo, al analizar una llamada HTTP o el procedimiento para intercambiar certificados de seguridad, observar el protocolo, los encabezados de paquetes y los nombres de dominio.

Si consideramos a Zeek como una herramienta de seguridad de red, entonces podemos decir que le da al especialista la oportunidad de investigar el incidente, aprendiendo sobre lo que sucedió antes o durante el incidente. Zeek, además, convierte los datos de tráfico de la red en eventos de alto nivel y permite trabajar con un intérprete de guiones. El intérprete admite el lenguaje de programación utilizado para organizar la interacción con los eventos y para averiguar qué significan exactamente estos eventos en términos de seguridad de la red. El lenguaje de programación Zeek se puede utilizar para personalizar la interpretación de metadatos según lo necesite una organización en particular. Le permite construir condiciones lógicas complejas utilizando los operadores AND, OR y NOT. Esto brinda a los usuarios la capacidad de personalizar el análisis de sus entornos. Es cierto, debe tenerse en cuentaque, en comparación con Suricata, Zeek puede parecer una herramienta bastante sofisticada cuando se realizan reconocimientos de amenazas de seguridad.

Si estás interesado en los detalles de Zeek, mira este video.

7. Panther


Panther es una poderosa plataforma inicialmente basada en la nube para la supervisión continua de la seguridad. Recientemente fue transferida a la categoría de código abierto. Los arquitectos del proyecto son el arquitecto principal de StreamAlert , una solución de análisis de registro automatizado cuyo código fue abierto por Airbnb. Panther proporciona al usuario un sistema único para detectar amenazas de forma centralizada en todos los entornos y para organizar las respuestas a ellas. Este sistema puede crecer con el tamaño de la infraestructura servida. La detección de amenazas se organiza utilizando reglas deterministas transparentes, que se realizan para reducir el porcentaje de falsos positivos y el nivel de carga innecesaria en los especialistas en seguridad.

Entre las principales características de Panther están las siguientes:

  • Detección de acceso no autorizado a recursos mediante el análisis de registros.
  • Búsqueda de amenazas, implementada a través de una búsqueda en los registros de indicadores que indican problemas de seguridad. Las búsquedas se realizan utilizando campos de datos estandarizados de Panter.
  • Verificación del cumplimiento del sistema con los estándares SOC / PCI / HIPAA utilizando los mecanismos integrados de Panther.
  • Proteger los recursos de la nube corrigiendo automáticamente los errores de configuración que, si son explotados por ellos, pueden ocasionar serios problemas.

Panther se implementa en una nube de organización de AWS con AWS CloudFormation. Esto permite al usuario controlar siempre sus datos.

Resumen


La seguridad del sistema de monitoreo es, hoy, la tarea más importante. Las herramientas de código abierto pueden ayudar a las empresas de todos los tamaños a resolver este problema, brindan muchas oportunidades y son casi inútiles o gratuitas.

¡Queridos lectores! ¿Qué herramientas de monitoreo de seguridad utiliza?

More articles:


All Articles