Много раз мы сталкивались с несколькими блогами, в которых утверждалось, что Linux неуязвим для злоумышленников. Это действительно так, поскольку операционные системы GNU/Linux для серверов и настольных компьютеров поставляются с рядом инструментов, которые помогают смягчить атаки. Большая проблема заключается в том, что защита не включена по умолчанию. Ваша кибербезопасность во многом зависит от настроенных инструментов для проверки уязвимостей, вредоносных программ и вирусов, а затем их предотвращения в установленном порядке.

Основными задачами оборонной безопасности являются:

  • Конфигурации системы с приоритетом безопасности и усилиями по предотвращению вторжений.
  • Постоянный мониторинг системы для предотвращения атак.
  • Меры безопасности для уменьшения последствий взломов и возможности восстановления систем после взлома.
  • Отслеживайте происхождение вредоносных программ, программ-вымогателей и других нарушений
  • Объедините методы физической, цифровой и процедурной безопасности для снижения рисков.

1. Elasticsearch SIEM

SIEM — это аббревиатура от Security Information and Event Management. Он используется для сбора журналов и событий, связанных с хостом и сетью, а затем нормализует данные для дальнейшего анализа в виде предупреждений, отчетов, поисков и т.д. SIEM можно использовать в качестве центральной панели управления для групп безопасности для выполнения их повседневных задач.

Для SIEM требуется несколько компонентов Elastic Stack, в том числе:

  • Elastic Endpoint Security: это платформа безопасности конечных точек, отвечающая за обеспечение возможностей предотвращения, обнаружения и реагирования. События и оповещения безопасности отправляются прямо в Elasticsearch.
  • Beats: это грузоотправители, установленные в системах агентов, они отвечают за отправку событий безопасности и других данных в Elasticsearch.
  • Elasticsearch: этот инструмент обеспечивает распределенное хранилище, поиск и аналитику в режиме реального времени. Он индексирует потоки журналов, метрик и полуструктурированных данных.
  • Kibana: предоставляет платформу для визуализации данных, хранящихся в Elasticsearch.

Благодаря Elasticsearch SIEM пользователи получают следующие преимущества:

  • Целостный обзор: он предлагает централизованное место для мониторинга и анализа различных действий в их среде.
  • Автоматическое обнаружение угроз: Этот инструмент позволяет командам безопасности автоматизировать обнаружение угроз и действовать в режиме реального времени на основе собранных данных.
  • Управление рисками: оно позволило командам обнаруживать угрозы, используя готовые задания машинного обучения.

2. Cyberchef

Cyberchef — это простой инструмент, который предоставляет интуитивно понятный веб-интерфейс для выполнения желаемых киберопераций. Операции варьируются от простых кодировок, таких как XOR и Base64, до более сложного шифрования, такого как AES, DES и Blowfish. Вы также можете создавать двоичные и шестнадцатеричные дампы, выполнять сжатие и распаковку данных, вычислять хэши и контрольные суммы, изменять кодировки символов, анализировать IPv6 и X.509 и т.д.

Инструмент создан, чтобы помочь техническим и нетехническим специалистам манипулировать данными сложными способами без каких-либо глубоких технических знаний.

Cyberchef состоит из четырех основных направлений:

  • Поле ввода: оно находится в правом верхнем углу, где вы вводите текст или файл, с которым хотите работать.
  • Поле вывода: расположено в правом нижнем углу, где распечатываются результаты вашего процесса.
  • Список операций: расположен в крайнем левом углу и помогает найти все операции, которые может выполнять CyberChef.
  • Область рецептов: она находится посередине, здесь вы перетаскиваете операции и указываете нужные аргументы и параметры.

3. Сканер уязвимостей GVM

Сканеры уязвимостей жизненно важны для защиты от угроз, проходящих через брандмауэр. Они обнаруживают их и предупреждают/смягчают риск, прежде чем они заразят или уничтожат ваши сети. Наиболее распространенными сканерами уязвимостей являются QualysGuard, Nessus и т.д.

OpenVAS, переименованный в Greenbone Vulnerability Management (GVM), является одним из часто используемых сканеров уязвимостей. Этот полнофункциональный сканер уязвимостей существует как один из компонентов большого менеджера безопасности Greenbone» (GSM).

Этот инструмент был впервые реализован в 2009 году и на протяжении многих лет разрабатывался коммерческой компанией с открытым исходным кодом, чтобы стать настолько надежным. Вот некоторые положительные стороны GVM:

  • Существует с 2009 года с постоянными ежедневными обновлениями и более 50 000 тестов на уязвимости.
  • Он поддерживается компанией по обеспечению безопасности корпоративного программного обеспечения.
  • Он способен выполнять несколько типов аутентифицированных/неаутентифицированных тестов.
  • Он поддерживает ряд интернет-протоколов низкого и высокого уровня, а также промышленных протоколов.
  • Пользователи могут реализовывать собственные тесты, используя внутренний язык программирования.

Этот инструмент может использоваться командами DevOps и безопасности, предпочтительно теми, кто работает в среде «синих команд». Пентестеры также могут использовать этот инструмент при работе с вознаграждениями за обнаружение ошибок.

4. Полный захват пакетов Arkime

Вы ищете инфраструктуру безопасности для хранения и индексирования сетевого трафика в стандартном формате PCAP? Тогда полный захват пакетов Arkime — это то, что вам нужно. Однако этот инструмент не предназначен для замены систем обнаружения вторжений (IDS), а вместо этого улучшает видимость.

С Arkime связано множество функций. Некоторые из них включают в себя:

  • Безопасность: он защищен протоколом HTTPS с дайджест-паролями или прокси-сервером веб-сервера, обеспечивающим аутентификацию. PCAP сохраняются на датчиках Arkime и доступны только через веб-интерфейс или API.
  • Масштабируемость: его можно развернуть в кластерных системах, чтобы обеспечить возможность масштабирования и обработки больших объемов трафика в секунду.
  • Интерфейс: предоставляет веб-интерфейс, с помощью которого вы можете выполнять просмотр, поиск, анализ и обработку PCAP для экспорта. Все пакеты сохраняются и экспортируются в стандартном формате PCAP. Это позволяет пользователям использовать свои любимые инструменты приема PCAP во время анализа.
  • API: открытые API позволяют напрямую получать доступ к данным сеанса в формате PCAP и JSON и загружать их.

5. Платформа реагирования на инциденты TheHive

Это бесплатный инструмент с открытым исходным кодом, предназначенный для того, чтобы SOC, CSIRT, CERT и любым специалистам по информационной безопасности могли легко решать задачи безопасности, требующие анализа и немедленных исправлений. Этот инструмент платформы реагирования на инциденты безопасности служит лучшим дополнением к MISP. Его можно синхронизировать с одним или несколькими экземплярами MISP и начинать расследование событий MISP. Также можно экспортировать результаты как события MISP, чтобы помочь команде обнаружить и отреагировать на атаки, которые вы уже обработали. TheHive также можно использовать с Cortex, чтобы помочь аналитикам и исследователям безопасности анализировать бесчисленные наблюдаемые данные.

Основные особенности TheHive:

  • Мультитенантность: он поставляется с поддержкой мультитенантности, которая позволяет:
    • Использование изолированной мультиарендности: это позволяет определить множество организаций, не позволяя им совместно использовать данные.
    • Используйте совместную многопользовательскую аренду: позволяет организациям совместно работать над конкретными делами, задачами и наблюдаемыми объектами, используя настраиваемые профили пользователей (RBAC).
  • RBAC: это позволяет организациям иметь детальные разрешения для разных профилей. Доступные роли: администратор, администратор организации, аналитик, только для чтения.
  • Аутентификация: он поддерживает ряд аутентификаций, включая LDAP, Active Directory, локальные учетные записи, базовую аутентификацию, ключи API, OAUTH2 и многофакторную аутентификацию.
  • Статистика и информационные панели: он поставляется с мощным статистическим модулем, который помогает пользователям создавать содержательные информационные панели для управления своей деятельностью и поддержки ваших бюджетных запросов.
  • Интеграции: поддерживает ряд интеграций, среди них MISP, Cortex, Digital Shadows, Zerofox и т.д.

6. Malcolm

Malcom — это инструмент, который обрабатывает данные сетевого трафика в форме файлов захвата пакетов (PCAP) или журналов Zeek. Ниже приведена диаграмма, демонстрирующая архитектуру Малкольма;

Датчик или устройство захвата пакетов отвечает за мониторинг сети через порт SPAN на сетевом устройстве, таком как коммутатор или маршрутизатор, или с помощью сетевого устройства TAP. Журналы Zeek и сеансы Arkime, содержащие необходимые данные, генерируются, а затем безопасно отправляются Малкольму. Полные файлы PCAP сохраняются локально на сенсорном устройстве и могут быть позже использованы для анализа.

Затем Malcom анализирует сетевые данные с помощью сопоставлений и поисков, таких как производитель оборудования, по уникальным организационным идентификаторам (docs/OUI) в MAC-адресах, сопоставлению GeoIP и т.д. Эти данные затем сохраняются в формате документа OpenSearch, который можно анализировать с помощью панелей мониторинга OpenSearch или Аркиме.

Ниже приведена иллюстрация того, как можно настроить Malcome:

7. Suricata IDS

Suricata — это инструмент обнаружения вторжений и угроз с открытым исходным кодом, известный своей высокой производительностью. Этот инструмент используется многими организациями, как государственными, так и частными, для защиты активов. Этот инструмент был разработан в 2009 году Фондом открытой информационной безопасности (OISF). Он способен выявлять и останавливать атаки, используя в совокупности предотвращение вторжений (IPS), мониторинг сетевой безопасности (NSM), обработку PCAP и обнаружение вторжений (IDS).

Ниже показано изображение бесплатного приложения Suricata в магазине Splunk, разработанного Эриком Леблоном из Stamus Networks:

Интересные функции Suricata IDS:

  • Интеграция: Suricata может быть интегрирована с многочисленными уважаемыми коммерческими решениями и решениями с открытым исходным кодом в вашей среде. Эти инструменты включают Elasticsearch/Logstash, Kibana, Splunk.
  • Высокая производительность: это то, чем известна Suricata. Он способен проверять мультигигабитный трафик, поскольку его механизм основан на многопоточной, современной, чистой и хорошо масштабируемой базе кода.
  • Автоматическое обнаружение протокола: автоматически определяет протокол, используемый на любом порту, а затем применяет необходимую логику обнаружения и регистрации. Это во многом помогает найти связанные вредоносные программы и каналы CnC.
  • Язык сценариев Lua: его можно использовать для изменения выходных данных и создания сложной и подробной логики подписи.
  • Стандартные выходные данные: основной выход журнала называется «Eve» для всех выходных данных событий и предупреждений JSON. Это упрощает интеграцию SUricata с Logstash и другими подобными инструментами.

8. Zeek IDS

Zeek — это анализатор сетевого трафика с открытым исходным кодом, используемый многими организациями для поддержки расследований подозрительной или вредоносной активности. Этот инструмент также поддерживает несколько других задач анализа трафика, включая измерение производительности и устранение неполадок.

Пользователи Zeek получают большую выгоду от широкого набора журналов, описывающих сетевую активность. Журналы включают в себя полную запись каждого соединения, обнаруженного в сети, а также все расшифровки на уровне приложений. К ним относятся сеансы HTTP с запрошенными URI, запросы DNS, сертификаты SSL, типы MIME и т.д. Зик записывает всю собранную информацию в файлы журналов JSON, которые могут обрабатываться внешними инструментами. Пользователи также могут использовать внешние базы данных или инструменты SIEM для хранения, анализа и визуализации данных.

Zeek в основном находит применение в следующих областях:

  • Обнаружение аномалий: используется для расследования и определения того, является ли это аномалией или злонамеренной угрозой для вашей инфраструктуры, и принятия соответствующих мер.
  • Связанные данные управления уязвимостями. Они помогают вам получить полное представление о том, что вы пытаетесь уменьшить.
  • Видимость взаимосвязанной гибридной сети: можно использовать автономные инструменты мониторинга для получения видимости локальных или глобально распределенных сегментов сети.
  • Исследование зашифрованного трафика: его можно использовать для получения информации о событиях, которые позволяют реагировать с помощью зашифрованных протоколов, таких как SSH, SSL, SMTP/TLS.

В целом, Zeeks предоставляет несколько преимуществ командам по безопасности и сетям, которые стремятся понять работу своей инфраструктуры.

Вывод

Это конец этого подробного руководства по 8 лучшим инструментам защитной безопасности, которые можно установить в Linux. Есть много других инструментов, которые здесь не описаны. Пожалуйста, не стесняйтесь выбирать тот, который лучше всего подходит вам.