Get best of the week

7 ferramentas de monitoramento de segurança em nuvem de código aberto que vale a pena conhecer

A adoção generalizada da computação em nuvem está ajudando as empresas a expandir seus negócios. Mas o uso de novas plataformas também significa o surgimento de novas ameaças. Apoiar sua própria equipe na organização responsável por monitorar a segurança dos serviços em nuvem não é uma tarefa fácil. As ferramentas de monitoramento de estradas existentes são lentas. Eles são, até certo ponto, difíceis de gerenciar, se você precisar garantir a segurança da infraestrutura de nuvem em larga escala. Para manter a segurança da nuvem em alto nível, as empresas precisam de ferramentas poderosas, flexíveis e compreensíveis, cujos recursos excedam os recursos disponíveis anteriormente. É aqui que as tecnologias de código aberto são úteis, o que ajuda a economizar orçamentos de segurança e são criadas por especialistas que sabem muito sobre seus negócios.



O artigo, cuja tradução estamos publicando hoje, fornece uma visão geral de 7 ferramentas de código aberto para monitorar a segurança dos sistemas em nuvem. Essas ferramentas são projetadas para proteger contra hackers e criminosos cibernéticos, detectando anomalias e ações inseguras.

1. Osquery


O Osquery é um sistema para monitoramento e análise de baixo nível de sistemas operacionais que permite que profissionais de segurança conduzam pesquisas complexas de dados usando SQL. A estrutura do Osquery pode ser executada no Linux, macOS, Windows e FreeBSD. Representa um sistema operacional (SO) na forma de um banco de dados relacional de alto desempenho. Isso permite que profissionais de segurança explorem o sistema operacional executando consultas SQL. Por exemplo, usando uma consulta, você pode descobrir sobre processos em execução, módulos de kernel carregados, conexões de rede abertas, extensões de navegador instaladas, eventos de hardware e somas de hash de arquivos.

Estrutura Osquery criada pelo Facebook. Seu código foi aberto em 2014, depois que a empresa percebeu que ela não apenas precisava das ferramentas para monitorar os mecanismos de baixo nível dos sistemas operacionais. Desde então, especialistas de empresas como Dactiv, Google, Kolide, Trail of Bits, Uptycs e muitos outros usam o Osquery. Recentemente, foi anunciado que a Linux Foundation e o Facebook formarão o Osquery Support Fund.

O daemon de monitoramento de host do Osquery, chamado osqueryd, permite agendar consultas para coletar dados de toda a infraestrutura da organização. O daemon coleta os resultados da consulta e cria logs que refletem as alterações no estado da infraestrutura. Isso pode ajudar os profissionais de segurança a se manterem atualizados sobre o estado do sistema e é especialmente útil para detectar anomalias. A capacidade de Osquery de agregar logs pode ser usada para facilitar a pesquisa de malware conhecido e desconhecido, além de identificar os locais em que os invasores penetram no sistema e encontrar os programas instalados por eles. Aqui está o material onde você pode encontrar detalhes sobre a detecção de anomalias usando o Osquery.

2. GoAudit


Auditoria Linux sistema consiste em dois componentes principais. O primeiro é um tipo de código no nível do kernel projetado para interceptar e monitorar chamadas do sistema. O segundo componente é um daemon de espaço do usuário chamado auditd . Ele é responsável por gravar os resultados da auditoria no disco. GoAudit , um sistema criado pelo Slacke lançado em 2016, pretende substituir o auditd. Ele aprimorou os recursos de registro convertendo mensagens de eventos de várias linhas geradas pelo sistema de auditoria do Linux em blobs JSON únicos, o que simplifica a análise. Graças ao GoAudit, você pode acessar diretamente os mecanismos no nível do kernel pela rede. Além disso, você pode ativar a filtragem mínima de eventos no próprio host (ou desativar completamente a filtragem). Ao mesmo tempo, o GoAudit é um projeto desenvolvido não apenas para segurança. Essa ferramenta foi projetada como uma ferramenta multifuncional para profissionais envolvidos no suporte ou desenvolvimento do sistema. Ajuda a lidar com problemas em infraestruturas de larga escala.

O GoAudit está escrito em Golang. É uma linguagem de tipo seguro e de alto desempenho. Antes de instalar o GoAudit, verifique se a sua versão do Golang está acima de 1,7.

3. Grapl


O projeto Grapl (Graph Analytics Platform) foi transferido para a categoria de código aberto em março do ano passado. Essa é uma plataforma relativamente nova para detectar problemas de segurança, conduzir a ciência forense e gerar relatórios de incidentes. Os atacantes geralmente trabalham usando algo como um modelo de gráfico, ganhando controle sobre um sistema específico e pesquisando outros sistemas de rede, começando com esse sistema. Portanto, é bastante natural que os defensores do sistema também usem um mecanismo baseado em um modelo do gráfico de conexões de sistemas de rede que leve em consideração as características das relações entre os sistemas. Grapl demonstra uma tentativa de tomar medidas para identificar e responder a incidentes com base em um modelo de gráfico, em vez de um modelo de log.

A ferramenta Grapl aceita logs relacionados à segurança (logs Sysmon ou logs no formato JSON normal) e os converte em subgráficos (definindo as "informações de identidade" para cada nó). Depois disso, ele combina os subgráficos em um gráfico comum (Master Graph), que representa as ações executadas nos ambientes analisados. O Grapl então executa os Analisadores no gráfico usando as “assinaturas do invasor” para identificar anomalias e padrões suspeitos. Quando o analisador detecta um subgráfico suspeito, Grapl gera uma construção de Engagement para investigações. Engagement é uma classe Python que pode ser baixada, por exemplo, em um Notebook Jupyter implantado em um ambiente da AWS. Além disso, Graplcapaz de aumentar a coleta de informações para investigação de incidentes através da expansão do gráfico.

Se você quiser entender melhor o Grapl, assista a esta interessante gravação em vídeo da performance do BSides Las Vegas 2019.

4. OSSEC


OSSEC é um projeto fundado em 2004. Este projeto, em geral, pode ser descrito como uma plataforma de monitoramento de segurança de código aberto projetada para análise de host e detecção de intrusão. O OSSEC é baixado mais de 500.000 vezes por ano. Essa plataforma é usada principalmente como um meio de detectar invasões em servidores. Além disso, estamos falando de sistemas locais e de nuvem. Além disso, o OSSEC é frequentemente usado como uma ferramenta para estudar logs para monitorar e analisar firewalls, sistemas de detecção de intrusão, servidores da Web e também para estudar logs de autenticação.

O OSSEC combina os recursos de um Sistema de Detecção de Intrusão Baseado em Host (HIDS) com um sistema de segurança Security Incident Management (SIM) e SIEM (Security Information and Event Management) . O OSSEC também tem a capacidade de monitorar a integridade dos arquivos em tempo real. Isso, por exemplo, monitorando o registro do Windows, detectando rootkits. A OSSEC pode notificar as partes interessadas sobre os problemas detectados em tempo real e ajuda a responder rapidamente às ameaças detectadas. Esta plataforma suporta o Microsoft Windows e os sistemas mais modernos do tipo Unix, incluindo Linux, FreeBSD, OpenBSD e Solaris.

A plataforma OSSEC consiste em uma entidade gerenciadora central, um gerente usado para receber e monitorar informações de agentes (pequenos programas instalados em sistemas que precisam ser monitorados). O gerenciador está instalado em um sistema Linux que armazena o banco de dados usado para verificar a integridade do arquivo. Ele também armazena logs e registros de eventos e resultados de auditoria do sistema.

Atualmente, o OSSEC é suportado pela Atomicorp. A empresa supervisiona a versão de código aberto gratuita e também oferece uma versão comercial estendida do produto. Aquipodcast no qual o gerente de projetos da OSSEC fala sobre a versão mais recente do sistema - OSSEC 3.0. Ele também discute a história do projeto e como ele difere dos modernos sistemas comerciais usados ​​no campo da segurança de computadores.

5. Suricata


Suricata é um projeto de código aberto focado em resolver as principais tarefas de garantir a segurança do computador. Em particular, inclui um sistema de detecção de intrusões, um sistema de prevenção de intrusões e uma ferramenta para monitorar a segurança da rede.

Este produto apareceu em 2009. Seu trabalho é baseado em regras. Ou seja, quem o usa tem a oportunidade de descrever certos recursos do tráfego de rede. Se a regra for acionada, o Suricata gera uma notificação, bloqueando ou interrompendo a conexão suspeita, que, novamente, depende das regras especificadas. O projeto, além disso, suporta operação multiencadeada. Isso torna possível processar rapidamente um grande número de regras nas redes pelas quais passam grandes volumes de tráfego. Graças ao suporte a multithreading, um servidor completamente comum é capaz de analisar com êxito o tráfego a uma velocidade de 10 Gb / s. Ao mesmo tempo, o administrador não precisa limitar o conjunto de regras usadas para analisar o tráfego. Suricata também suporta hash e extração de arquivos.

O Suricata pode ser configurado para funcionar em servidores regulares ou em máquinas virtuais, como a AWS, usando o recurso de monitoramento de tráfego que apareceu recentemente no produto .

O projeto suporta scripts Lua, com os quais você pode criar lógica complexa e detalhada para analisar assinaturas de ameaças.

O projeto Suricata é tratado pela Open Information Security Foundation (OISF).

6. Zeek (Bro)


Como a Suricata, o Zeek (anteriormente chamado de Bro e renomeado Zeek no BroCon 2018) também é um sistema de detecção de intrusões e uma ferramenta de monitoramento de segurança de rede que pode detectar anomalias, como atividades suspeitas ou perigosas. O Zeek difere do IDS tradicional, pois, diferentemente dos sistemas baseados em regras que detectam exceções, o Zeek também captura metadados relacionados ao que está acontecendo na rede. Isso é feito para entender melhor o contexto do comportamento incomum da rede. Isso permite, por exemplo, analisar uma chamada HTTP ou o procedimento para troca de certificados de segurança, examinar o protocolo, cabeçalhos de pacotes e nomes de domínio.

Se considerarmos o Zeek como uma ferramenta de segurança de rede, podemos dizer que ele oferece ao especialista a oportunidade de investigar o incidente, aprendendo sobre o que aconteceu antes ou durante o incidente. Além disso, o Zeek converte dados de tráfego de rede em eventos de alto nível e possibilita o trabalho com um interpretador de scripts. O intérprete suporta a linguagem de programação usada para organizar a interação com os eventos e descobrir o que exatamente esses eventos significam em termos de segurança de rede. A linguagem de programação Zeek pode ser usada para personalizar a interpretação dos metadados, conforme necessário por uma organização específica. Permite construir condições lógicas complexas usando os operadores AND, OR e NOT. Isso permite que os usuários personalizem a análise de seus ambientes. Verdade, deve-se notarque, em comparação com Suricata, o Zeek pode parecer uma ferramenta bastante sofisticada ao realizar o reconhecimento de ameaças à segurança.

Se você está interessado nos detalhes do Zeek, confira este vídeo.

7. Pantera


O Panther é uma plataforma poderosa, inicialmente baseada na nuvem, para monitoramento contínuo da segurança. Ela foi transferida para a categoria de código aberto recentemente. Os arquitetos do projeto são o principal arquiteto do StreamAlert , uma solução automatizada de análise de logs cujo código foi aberto pelo Airbnb. O Panther fornece ao usuário um sistema único para detectar ameaças centralmente em todos os ambientes e organizar respostas a elas. Este sistema é capaz de crescer com o tamanho da infraestrutura atendida. A detecção de ameaças é organizada usando regras determinísticas transparentes, que foram feitas para reduzir a porcentagem de falsos positivos e reduzir o nível de carga desnecessária nos especialistas em segurança.

Entre as principais características do Panther estão os seguintes:

  • Detecção de acesso não autorizado a recursos analisando logs.
  • Procure ameaças, implementadas através de uma pesquisa nos logs de indicadores indicando problemas de segurança. As pesquisas são realizadas usando campos de dados padronizados do Panter.
  • Verificar o sistema para o cumprimento das normas SOC / PCI / HIPAA utilizando Panther built-in mecanismos.
  • Proteger os recursos da nuvem corrigindo automaticamente os erros de configuração que, se explorados por eles, podem levar a sérios problemas.

O Panther é implantado em uma nuvem da organização da AWS usando o AWS CloudFormation. Isso permite que o usuário sempre controle seus dados.

Sumário


Monitorar a segurança do sistema é hoje a tarefa mais importante. As ferramentas de código aberto podem ajudar empresas de todos os tamanhos a resolver esse problema, pois oferecem muitas oportunidades e são quase inúteis ou gratuitas.

Queridos leitores! Quais ferramentas de monitoramento de segurança você usa?

More articles:


All Articles