Get best of the week

7 alat pemantauan keamanan cloud open source yang perlu diketahui

Adopsi luas komputasi awan membantu perusahaan meningkatkan skala bisnis mereka. Namun penggunaan platform baru juga berarti munculnya ancaman baru. Mendukung tim Anda sendiri di dalam organisasi yang bertanggung jawab untuk memantau keamanan layanan cloud bukanlah tugas yang mudah. Alat pemantauan jalan yang ada lambat. Mereka, sampai batas tertentu, sulit dikelola jika Anda perlu memastikan keamanan infrastruktur cloud skala besar. Untuk menjaga keamanan cloud mereka pada level tinggi, perusahaan membutuhkan alat yang kuat, fleksibel dan dapat dipahami yang kemampuannya melebihi kemampuan dari apa yang tersedia sebelumnya. Di sinilah teknologi open source berguna, yang membantu menghemat anggaran keamanan dan dibuat oleh spesialis yang tahu banyak tentang bisnis mereka.



Artikel, terjemahan yang kami terbitkan hari ini, memberikan ikhtisar tentang 7 alat sumber terbuka untuk memantau keamanan sistem cloud. Alat-alat ini dirancang untuk melindungi terhadap peretas dan penjahat cyber dengan mendeteksi anomali dan tindakan tidak aman.

1. Osquery


Osquery adalah sistem untuk pemantauan dan analisis sistem operasi tingkat rendah, yang memungkinkan para profesional keamanan untuk melakukan penelitian data yang kompleks menggunakan SQL. Kerangka kerja Osquery dapat berjalan di Linux, macOS, Windows, dan FreeBSD. Ini mewakili sistem operasi (OS) dalam bentuk database relasional berkinerja tinggi. Ini memungkinkan para profesional keamanan untuk menjelajahi OS dengan mengeksekusi query SQL. Misalnya, menggunakan kueri, Anda dapat mencari tahu tentang proses yang sedang berjalan, modul kernel yang dimuat, koneksi jaringan terbuka, ekstensi browser yang diinstal, acara perangkat keras, dan hash file.

Kerangka kerja osquery dibuat oleh Facebook. Kode dibuka pada tahun 2014, setelah perusahaan menyadari bahwa dia tidak hanya membutuhkan alat untuk memonitor mekanisme tingkat rendah dari sistem operasi. Sejak itu, para ahli dari perusahaan seperti Dactiv, Google, Kolide, Trail of Bits, Uptycs, dan banyak lainnya telah menggunakan Osquery. Baru-baru ini diumumkan bahwa Linux Foundation dan Facebook akan membentuk Dana Dukungan Osquery.

Daemon pemantauan host Osquery, yang disebut osqueryd, memungkinkan Anda menjadwalkan pertanyaan untuk mengumpulkan data dari seluruh infrastruktur organisasi Anda. Daemon mengumpulkan hasil kueri dan membuat log yang mencerminkan perubahan dalam kondisi infrastruktur. Ini dapat membantu para profesional keamanan mengikuti perkembangan sistem dan sangat berguna untuk mendeteksi anomali. Kemampuan Osquery untuk mengumpulkan log dapat digunakan untuk memfasilitasi pencarian malware yang dikenal dan tidak dikenal, serta untuk mengidentifikasi tempat-tempat di mana penyusup menembus sistem dan untuk menemukan program yang diinstal oleh mereka. Berikut adalah materi di mana Anda dapat menemukan detail tentang cara mendeteksi anomali menggunakan Osquery.

2. GoAudit


Audit Linux sistem terdiri dari dua komponen utama. Yang pertama adalah semacam kode tingkat kernel yang dirancang untuk mencegat dan memonitor panggilan sistem. Komponen kedua adalah daemon ruang pengguna yang disebut auditd . Dia bertanggung jawab untuk menulis hasil audit ke disk. GoAudit , sistem yang dibuat oleh Slackdan dirilis pada 2016, dimaksudkan untuk menggantikan auditd. Ini telah meningkatkan kemampuan logging dengan mengubah pesan acara multi-line yang dihasilkan oleh sistem audit Linux menjadi gumpalan JSON tunggal, yang menyederhanakan analisis. Berkat GoAudit, Anda dapat langsung mengakses mekanisme level kernel melalui jaringan. Selain itu, Anda dapat mengaktifkan pemfilteran acara di host itu sendiri (atau menonaktifkan pemfilteran) sepenuhnya. Pada saat yang sama, GoAudit adalah proyek yang dirancang tidak hanya untuk keamanan. Alat ini dirancang sebagai alat multifungsi untuk para profesional yang terlibat dalam dukungan atau pengembangan sistem. Ini membantu mengatasi masalah dalam infrastruktur berskala besar.

GoAudit ditulis dalam Golang. Ini adalah jenis bahasa yang aman dan berkinerja tinggi. Sebelum memasang GoAudit, pastikan versi Golang Anda di atas 1.7.

3. Grapl


Proyek Grapl (Platform Graph Analytics) ditransfer ke kategori open source pada bulan Maret tahun lalu. Ini adalah platform yang relatif baru untuk mendeteksi masalah keamanan, untuk melakukan forensik sains forensik, dan untuk menghasilkan laporan insiden. Penyerang sering bekerja menggunakan sesuatu seperti model grafik, mendapatkan kendali atas sistem tertentu dan meneliti sistem jaringan lain, dimulai dengan sistem ini. Oleh karena itu, sangat wajar jika pendukung sistem juga akan menggunakan mekanisme berdasarkan model grafik koneksi sistem jaringan yang mempertimbangkan karakteristik hubungan antar sistem. Grapl menunjukkan upaya untuk mengambil langkah-langkah untuk mengidentifikasi dan merespons insiden berdasarkan model grafik daripada model log.

Alat Grapl menerima log terkait keamanan (log Sysmon atau log dalam format JSON normal) dan mengubahnya menjadi subgraph (mendefinisikan "informasi identitas" untuk setiap node). Setelah itu, ia menggabungkan subgraf ke dalam grafik umum (Grafik Master), yang mewakili tindakan yang dilakukan dalam lingkungan yang dianalisis. Grapl kemudian menjalankan Analisis pada grafik menggunakan "tanda tangan penyerang" untuk mengidentifikasi anomali dan pola yang mencurigakan. Ketika penganalisis mendeteksi subgraph yang mencurigakan, Grapl membuat konstruksi Engagement untuk investigasi. Keterlibatan adalah kelas Python yang dapat diunduh, misalnya, ke dalam Notebook Jupyter yang digunakan di lingkungan AWS. Grapl apalagimampu meningkatkan pengumpulan informasi untuk investigasi insiden melalui perluasan grafik.

Jika Anda ingin lebih memahami Grapl, Anda dapat menonton ini merekam video menarik dari kinerja dari BSides Las Vegas 2019.

4. OSSEC


OSSEC adalah proyek yang didirikan pada tahun 2004. Proyek ini, secara umum, dapat digambarkan sebagai platform pemantauan keamanan sumber terbuka yang dirancang untuk analisis host dan deteksi intrusi. OSSEC diunduh lebih dari 500.000 kali setahun. Platform ini digunakan terutama sebagai alat untuk mendeteksi intrusi pada server. Selain itu, kita berbicara tentang sistem cloud dan lokal. OSSEC, di samping itu, sering digunakan sebagai alat untuk mempelajari log untuk memantau dan menganalisis firewall, sistem deteksi intrusi, server web, serta untuk mempelajari log otentikasi.

OSSEC menggabungkan kemampuan Sistem Deteksi Penyusupan Berbasis Host (HIDS) dengan sistem keamanan Security Incident Management (SIM) dan SIEM (Informasi Keamanan dan Manajemen Kejadian) . OSSEC juga memiliki kemampuan untuk memantau integritas file secara real time. Ini, misalnya, memonitor registri Windows, mendeteksi rootkit. OSSEC dapat memberi tahu pihak yang berkepentingan tentang masalah yang terdeteksi secara real time dan membantu dengan cepat menanggapi ancaman yang terdeteksi. Platform ini mendukung Microsoft Windows dan sebagian besar sistem mirip Unix modern, termasuk Linux, FreeBSD, OpenBSD, dan Solaris.

Platform OSSEC terdiri dari entitas pengelola pusat, manajer yang digunakan untuk menerima dan memantau informasi dari agen (program kecil yang dipasang dalam sistem yang perlu dipantau). Manajer diinstal pada sistem Linux yang menyimpan database yang digunakan untuk memverifikasi integritas file. Itu juga menyimpan log dan catatan peristiwa dan hasil audit sistem.

OSSEC saat ini didukung oleh Atomicorp. Perusahaan mengawasi versi open source gratis, dan, di samping itu, menawarkan diperpanjang versi komersial dari produk. Sinipodcast tempat manajer proyek OSSEC berbicara tentang versi terbaru sistem - OSSEC 3.0. Ini juga membahas sejarah proyek, dan bagaimana ia berbeda dari sistem komersial modern yang digunakan di bidang keamanan komputer.

5. Suricata


Suricata adalah proyek sumber terbuka yang berfokus pada penyelesaian tugas utama untuk memastikan keamanan komputer. Secara khusus, ini mencakup sistem deteksi intrusi, sistem pencegahan intrusi, dan alat untuk memantau keamanan jaringan.

Produk ini muncul pada tahun 2009. Karyanya didasarkan pada aturan. Artinya, orang yang menggunakannya memiliki kesempatan untuk menggambarkan fitur tertentu dari lalu lintas jaringan. Jika aturan dipicu, maka Suricata menghasilkan pemberitahuan, memblokir atau memutus koneksi yang mencurigakan, yang, sekali lagi, tergantung pada aturan yang ditentukan. Proyek ini, di samping itu, mendukung operasi multi-utas. Ini memungkinkan untuk dengan cepat memproses sejumlah besar aturan dalam jaringan yang dilaluinya volume lalu lintas besar. Berkat dukungan multithreading, server yang sepenuhnya biasa dapat berhasil menganalisis lalu lintas dengan kecepatan 10 Gb / s. Pada saat yang sama, administrator tidak harus membatasi serangkaian aturan yang digunakan untuk menganalisis lalu lintas. Suricata juga mendukung hashing dan ekstraksi file.

Suricata dapat dikonfigurasi untuk berfungsi pada server biasa atau mesin virtual, misalnya, di AWS, menggunakan fitur pemantauan lalu lintas yang baru-baru ini muncul di produk .

Proyek ini mendukung skrip Lua, yang dengannya Anda dapat membuat logika yang rumit dan terperinci untuk menganalisis tanda tangan ancaman.

Proyek Suricata ditangani oleh Open Security Security Foundation (OISF).

6. Zeek (Bro)


Seperti Suricata, Zeek (sebelumnya bernama Bro dan berganti nama menjadi Zeek di acara BroCon 2018) juga merupakan sistem deteksi intrusi dan alat pemantauan keamanan jaringan yang dapat mendeteksi anomali, seperti aktivitas yang mencurigakan atau berbahaya. Zeek berbeda dari IDS tradisional dalam hal itu, tidak seperti sistem berbasis aturan yang mendeteksi pengecualian, Zeek juga menangkap metadata yang terkait dengan apa yang terjadi pada jaringan. Ini dilakukan untuk lebih memahami konteks perilaku jaringan yang tidak biasa. Ini memungkinkan, misalnya, menganalisis panggilan HTTP atau prosedur untuk bertukar sertifikat keamanan, untuk melihat protokol, pada header paket, pada nama domain.

Jika kita menganggap Zeek sebagai alat keamanan jaringan, maka kita dapat mengatakan bahwa Zeek memberikan kesempatan kepada spesialis untuk menyelidiki insiden tersebut, mempelajari apa yang terjadi sebelum atau selama insiden. Zeek, di samping itu, mengubah data lalu lintas jaringan menjadi peristiwa tingkat tinggi dan memungkinkannya untuk bekerja dengan penerjemah skrip. Penerjemah mendukung bahasa pemrograman yang digunakan untuk mengatur interaksi dengan peristiwa dan untuk mencari tahu apa sebenarnya arti peristiwa ini dalam hal keamanan jaringan. Bahasa pemrograman Zeek dapat digunakan untuk menyesuaikan interpretasi metadata seperti yang dibutuhkan oleh organisasi tertentu. Ini memungkinkan Anda untuk membangun kondisi logis yang kompleks menggunakan operator AND, OR dan NOT. Ini memberi pengguna kemampuan untuk menyesuaikan analisis lingkungan mereka. Benar, harus diperhatikanyang, dibandingkan dengan Suricata, Zeek mungkin tampak seperti alat yang cukup canggih ketika melakukan pengintaian terhadap ancaman keamanan.

Jika Anda tertarik pada detail Zeek, lihat video ini .

7. Panther


Panther adalah platform yang kuat, awalnya berbasis cloud untuk pemantauan keamanan berkelanjutan. Dia dipindahkan ke kategori open-source baru-baru ini. Arsitek proyek ini adalah arsitek utama StreamAlert , solusi analisis log otomatis yang kodenya dibuka oleh Airbnb. Panther memberi pengguna satu sistem untuk mendeteksi ancaman secara terpusat di semua lingkungan dan mengatur respons terhadapnya. Sistem ini mampu tumbuh dengan ukuran infrastruktur yang dilayani. Deteksi ancaman diatur menggunakan aturan deterministik transparan, yang dilakukan untuk mengurangi persentase positif palsu dan mengurangi tingkat beban yang tidak perlu pada spesialis keamanan.

Di antara fitur-fitur utama Panther adalah sebagai berikut:

  • Deteksi akses tidak sah ke sumber daya dengan menganalisis log.
  • Mencari ancaman, diimplementasikan melalui pencarian di log indikator yang menunjukkan masalah keamanan. Pencarian dilakukan menggunakan bidang data Panter standar.
  • Memeriksa sistem untuk memenuhi standar SOC / PCI / HIPAA menggunakan Panther built-in mekanisme.
  • Melindungi sumber daya cloud dengan secara otomatis memperbaiki kesalahan konfigurasi yang, jika dieksploitasi oleh mereka, dapat menyebabkan masalah serius.

Panther digunakan di cloud organisasi AWS menggunakan AWS CloudFormation. Ini memungkinkan pengguna untuk selalu mengontrol datanya.

Ringkasan


Pemantauan keamanan sistem adalah, hari ini, tugas yang paling penting. Alat open-source dapat membantu perusahaan dari semua ukuran menyelesaikan masalah ini, mereka memberikan banyak peluang dan hampir tidak berharga atau gratis.

Pembaca yang budiman! Alat pemantauan keamanan apa yang Anda gunakan?

More articles:


All Articles