Get best of the week

7 outils de surveillance de la sécurité du cloud open source à connaître

L'adoption généralisée du cloud computing aide les entreprises à faire évoluer leurs activités. Mais l'utilisation de nouvelles plateformes signifie également l'émergence de nouvelles menaces. Soutenir votre propre équipe au sein de l'organisation chargée de surveiller la sécurité des services cloud n'est pas une tâche facile. Les outils de surveillance des routes existants sont lents. Ils sont, dans une certaine mesure, difficiles à gérer si vous avez besoin d'assurer la sécurité d'une infrastructure cloud à grande échelle. Afin de maintenir leur sécurité cloud à un niveau élevé, les entreprises ont besoin d'outils puissants, flexibles et compréhensibles dont les capacités dépassent les capacités de ce qui était disponible auparavant. C'est là que les technologies open source sont utiles, qui permettent d'économiser les budgets de sécurité et sont créées par des spécialistes qui connaissent bien leur entreprise.



L'article, dont nous publions la traduction aujourd'hui, donne un aperçu de 7 outils open source pour surveiller la sécurité des systèmes cloud. Ces outils sont conçus pour protéger contre les pirates et les cybercriminels en détectant les anomalies et les actions dangereuses.

1. Osquery


Osquery est un système de surveillance et d'analyse de bas niveau des systèmes d'exploitation, qui permet aux professionnels de la sécurité d'effectuer des recherches de données complexes à l'aide de SQL. Le framework Osquery peut fonctionner sous Linux, macOS, Windows et FreeBSD. Il représente un système d'exploitation (OS) sous la forme d'une base de données relationnelle hautes performances. Cela permet aux professionnels de la sécurité d'explorer le système d'exploitation en exécutant des requêtes SQL. Par exemple, à l'aide d'une requête, vous pouvez découvrir les processus en cours d'exécution, les modules de noyau chargés, les connexions réseau ouvertes, les extensions de navigateur installées, les événements matériels et les sommes de hachage des fichiers.

Framework Osquery créé par Facebook. Son code a été ouvert en 2014, après que la société a réalisé que non seulement elle avait besoin des outils pour surveiller les mécanismes de bas niveau des systèmes d'exploitation. Depuis lors, des experts d'entreprises telles que Dactiv, Google, Kolide, Trail of Bits, Uptycs et bien d'autres utilisent Osquery. Il a récemment été annoncé que la Linux Foundation et Facebook allaient former le Osquery Support Fund.

Le démon de surveillance d'hôte Osquery, appelé osqueryd, vous permet de planifier des demandes de collecte de données à travers l'infrastructure de votre organisation. Le démon collecte les résultats de la requête et crée des journaux qui reflètent les changements dans l'état de l'infrastructure. Cela peut aider les professionnels de la sécurité à se tenir au courant de l'état du système et est particulièrement utile pour détecter les anomalies. La capacité d'Osquery à regrouper les journaux peut être utilisée pour faciliter la recherche de logiciels malveillants connus et inconnus, ainsi que pour identifier les endroits où les intrus pénètrent dans le système et pour trouver les programmes qu'ils ont installés. Voici le matériel où vous pouvez trouver des détails sur la détection des anomalies à l'aide d'Osquery.

2. GoAudit


L' audit Linux système se compose de deux composants principaux. Le premier est une sorte de code au niveau du noyau conçu pour intercepter et surveiller les appels système. Le deuxième composant est un démon de l' espace utilisateur appelé auditd . Il est responsable de l'écriture des résultats de l'audit sur le disque. GoAudit , un système créé par Slacket publié en 2016, est destiné à remplacer auditd. Il a amélioré les capacités de journalisation en convertissant les messages d'événements multilignes générés par le système d'audit Linux en objets blob JSON simples, ce qui simplifie l'analyse. Grâce à GoAudit, vous pouvez accéder directement aux mécanismes de niveau noyau sur le réseau. De plus, vous pouvez activer un filtrage minimal des événements sur l'hôte lui-même (ou désactiver complètement le filtrage). Dans le même temps, GoAudit est un projet conçu non seulement pour la sécurité. Cet outil est conçu comme un outil multifonctionnel pour les professionnels impliqués dans le support ou le développement de systèmes. Il permet de faire face aux problèmes des infrastructures à grande échelle.

GoAudit est écrit en Golang. Il s'agit d'un langage sûr et performant. Avant d'installer GoAudit, vérifiez que votre version de Golang est supérieure à 1.7.

3. Grapl


Le projet Grapl (Graph Analytics Platform) a été transféré dans la catégorie open source en mars de l'année dernière. Il s'agit d'une plate-forme relativement nouvelle pour détecter les problèmes de sécurité, pour mener des enquêtes médico-légales et pour générer des rapports d'incidents. Les attaquants travaillent souvent en utilisant quelque chose comme un modèle de graphique, en prenant le contrôle d'un système particulier et en recherchant d'autres systèmes de réseau, en commençant par ce système. Par conséquent, il est tout à fait naturel que les défenseurs des systèmes utilisent également un mécanisme basé sur un modèle du graphique des connexions des systèmes de réseau qui prend en compte les caractéristiques des relations entre les systèmes. Grapl démontre une tentative de prendre des mesures pour identifier et répondre aux incidents sur la base d'un modèle graphique plutôt que d'un modèle logarithmique.

L'outil Grapl accepte les journaux liés à la sécurité (journaux Sysmon ou journaux au format JSON normal) et les convertit en sous-graphiques (définissant les "informations d'identité" pour chaque nœud). Après cela, il combine les sous-graphiques dans un graphique commun (Master Graph), qui représente les actions effectuées dans les environnements analysés. Grapl exécute ensuite des analyseurs sur le graphique en utilisant les «signatures d'attaquants» pour identifier les anomalies et les modèles suspects. Lorsque l'analyseur détecte un sous-graphique suspect, Grapl génère une construction Engagement pour les enquêtes. Engagement est une classe Python qui peut être téléchargée, par exemple, dans un bloc-notes Jupyter déployé dans un environnement AWS. Grapl d'ailleurscapable d'augmenter la collecte d'informations pour l'enquête sur les incidents grâce à l'expansion du graphique.

Si vous voulez mieux comprendre Grapl, vous pouvez regarder cet enregistrement vidéo intéressant de la performance de BSides Las Vegas 2019.

4. OSSEC


OSSEC est un projet fondé en 2004. Ce projet, en général, peut être décrit comme une plate-forme de surveillance de la sécurité open source conçue pour l'analyse des hôtes et la détection des intrusions. OSSEC est téléchargé plus de 500 000 fois par an. Cette plateforme est principalement utilisée comme moyen de détection des intrusions sur les serveurs. De plus, nous parlons à la fois de systèmes locaux et cloud. OSSEC, en outre, est souvent utilisé comme un outil pour étudier les journaux pour surveiller et analyser les pare-feu, les systèmes de détection d'intrusion, les serveurs Web, ainsi que pour étudier les journaux d'authentification.

OSSEC combine les capacités d'un système de détection d'intrusion basé sur l'hôte (HIDS) avec un système de sécurité de gestion des incidents de sécurité (SIM) et SIEM (informations de sécurité et gestion des événements) . OSSEC a également la capacité de surveiller l'intégrité des fichiers en temps réel. Cela, par exemple, la surveillance du registre Windows, la détection des rootkits. OSSEC peut informer les parties intéressées des problèmes détectés en temps réel et aide à répondre rapidement aux menaces détectées. Cette plate-forme prend en charge Microsoft Windows et les systèmes de type Unix les plus modernes, notamment Linux, FreeBSD, OpenBSD et Solaris.

La plate-forme OSSEC se compose d'une entité de gestion centrale, un gestionnaire utilisé pour recevoir et surveiller les informations des agents (petits programmes installés dans des systèmes qui doivent être surveillés). Le gestionnaire est installé sur un système Linux qui stocke la base de données utilisée pour vérifier l'intégrité des fichiers. Il stocke également les journaux et les enregistrements des événements et des résultats d'audit du système.

OSSEC est actuellement pris en charge par Atomicorp. La société supervise la version open source gratuite et, en outre, propose une version commerciale étendue du produit. Icipodcast dans lequel le chef de projet OSSEC parle de la dernière version du système - OSSEC 3.0. Il aborde également l'histoire du projet et en quoi il diffère des systèmes commerciaux modernes utilisés dans le domaine de la sécurité informatique.

5. Suricata


Suricata est un projet open source axé sur la résolution des principales tâches d'assurer la sécurité informatique. En particulier, il comprend un système de détection d'intrusion, un système de prévention d'intrusion et un outil de surveillance de la sécurité du réseau.

Ce produit est apparu en 2009. Son travail est basé sur des règles. Autrement dit, celui qui l'utilise a la possibilité de décrire certaines caractéristiques du trafic réseau. Si la règle est déclenchée, Suricata génère une notification, bloquant ou interrompant la connexion suspecte, qui, là encore, dépend des règles spécifiées. Le projet prend également en charge le fonctionnement multithread. Cela permet de traiter rapidement un grand nombre de règles dans les réseaux à travers lesquels transitent de gros volumes de trafic. Grâce à la prise en charge du multithreading, un serveur complètement ordinaire est capable d'analyser avec succès le trafic à une vitesse de 10 Gb / s. Dans le même temps, l'administrateur n'a pas à limiter l'ensemble des règles utilisées pour analyser le trafic. Suricata prend également en charge le hachage et l'extraction de fichiers.

Suricata peut être configuré pour fonctionner sur des serveurs ordinaires ou sur des machines virtuelles, telles qu'AWS, à l'aide de la fonction de surveillance du trafic qui est récemment apparue dans le produit .

Le projet prend en charge les scripts Lua, avec lesquels vous pouvez créer une logique complexe et détaillée pour analyser les signatures de menace.

Le projet Suricata est géré par l'Open Information Security Foundation (OISF).

6. Zeek (Bro)


Comme Suricata, Zeek (anciennement appelé Bro et renommé Zeek à BroCon 2018) est également un système de détection d'intrusion et un outil de surveillance de la sécurité du réseau qui peut détecter des anomalies, telles que des activités suspectes ou dangereuses. Zeek diffère des IDS traditionnels en ce que, contrairement aux systèmes basés sur des règles qui détectent les exceptions, Zeek capture également les métadonnées associées à ce qui se passe sur le réseau. Ceci est fait afin de mieux comprendre le contexte d'un comportement de réseau inhabituel. Cela permet, par exemple, lors de l'analyse d'un appel HTTP ou de la procédure d'échange de certificats de sécurité, de regarder le protocole, les en-têtes de paquets, les noms de domaine.

Si nous considérons Zeek comme un outil de sécurité réseau, nous pouvons dire qu'il donne au spécialiste la possibilité d'enquêter sur l'incident, de se renseigner sur ce qui s'est passé avant ou pendant l'incident. Zeek, en outre, convertit les données de trafic réseau en événements de haut niveau et permet de travailler avec un interpréteur de script. L'interprète prend en charge le langage de programmation utilisé pour organiser l'interaction avec les événements et pour savoir exactement ce que ces événements signifient en termes de sécurité du réseau. Le langage de programmation Zeek peut être utilisé pour personnaliser l'interprétation des métadonnées selon les besoins d'une organisation particulière. Il vous permet de créer des conditions logiques complexes en utilisant les opérateurs AND, OR et NOT. Cela donne aux utilisateurs la possibilité de personnaliser l'analyse de leur environnement. Certes, il convient de noterqui, par rapport à Suricata, Zeek peut sembler être un outil assez sophistiqué lors de la reconnaissance des menaces de sécurité.

Si vous êtes intéressé par les détails de Zeek, regardez cette vidéo.

7. Panthère


Panther est une plateforme puissante, initialement basée sur le cloud, pour une surveillance continue de la sécurité. Elle a récemment été transférée dans la catégorie open-source. Les architectes du projet sont l' architecte principal de StreamAlert , une solution d'analyse automatisée des journaux dont le code a été ouvert par Airbnb. Panther fournit à l'utilisateur un système unique de détection centralisée des menaces dans tous les environnements et d'organisation des réponses à ces menaces. Ce système peut évoluer avec la taille de l'infrastructure desservie. La détection des menaces est organisée à l'aide de règles déterministes transparentes, ce qui a été fait afin de réduire le pourcentage de faux positifs et de réduire le niveau de charge inutile pour les spécialistes de la sécurité.

Les principales caractéristiques de Panther sont les suivantes:

  • Détection des accès non autorisés aux ressources en analysant les journaux.
  • Recherche de menaces, implémentée par une recherche dans les journaux d'indicateurs indiquant des problèmes de sécurité. Les recherches sont effectuées à l'aide de champs de données Panter normalisés.
  • Vérification de la conformité du système aux normes SOC / PCI / HIPAA à l'aide des mécanismes intégrés Panther.
  • Protéger les ressources cloud en corrigeant automatiquement les erreurs de configuration qui, si elles sont exploitées, peuvent entraîner de graves problèmes.

Panther est déployé dans un cloud d'organisation AWS à l'aide d'AWS CloudFormation. Cela permet à l'utilisateur de toujours contrôler ses données.

Sommaire


La surveillance de la sécurité du système est, aujourd'hui, la tâche la plus importante. Les outils open source peuvent aider les entreprises de toutes tailles à résoudre ce problème. Ils offrent de nombreuses opportunités et sont presque sans valeur ou gratuits.

Chers lecteurs! Quels outils de surveillance de la sécurité utilisez-vous?

More articles:


All Articles