0
0
As ferramentas de código aberto podem ser ótimas adições ao seu arsenal de segurança na nuvem. Aqui estão meia dúzia para você começar.
As ferramentas de código aberto são um fato da vida no desenvolvimento de aplicativos. Um número crescente de ferramentas de segurança de código aberto torna a licença não comercial uma opção realista para mais equipes de segurança.
Tradicionalmente, as ferramentas de código aberto são vistas como opções para instituições acadêmicas e empresas menores. Mas as ferramentas de código aberto da geração atual, desenvolvidas com ênfase na escala e flexibilidade de implantação, foram desenvolvidas com grandes empresas em mente.
Dark Reading examinou uma série de ferramentas e sistemas em todo o cenário de código aberto para encontrar meia dúzia de que as equipes de segurança corporativa vão querer saber. Vários estão no início de suas vidas úteis; um está no final, embora ainda seja útil. Na maioria dos casos, essas ferramentas competem com as ofertas comerciais, embora em todos os casos a opção de código aberto forneça qualidades (além do preço de compra) que as tornam dignas de consideração em situações específicas.
Como sua equipe de segurança está usando ferramentas de código aberto? Eles são para fins específicos, a maioria do conjunto de ferramentas de segurança corporativa, ou não são suficientemente confiáveis para fazer parte da lista da empresa? Deixe-nos saber na seção de comentários abaixo.
Janssen
O Projeto Janssen aborda os aspectos de autenticação e autorização da segurança na nuvem. Os componentes do projeto incluem várias implementações dos padrões OAuth, OpenID Connect e FIDO.
Janssen é um projeto da Linux Foundation e, como tal, é regido de acordo com o estatuto da fundação. Em última análise, os objetivos do projeto incluem unir uma comunidade e promover um ecossistema, em vez de simplesmente colocar um produto ou coleção de tecnologias no mercado.
Porém, mais do que simplesmente um servidor de autorização e autenticação, a Janssen fornece os componentes para um serviço de autenticação e autorização escalonável e centralizado. Embora o projeto reconheça que uma série de sistemas de autenticação comerciais (e até mesmo outros de código aberto) estão disponíveis, Janssen se destina a ser altamente escalonável, altamente disponível e altamente flexível, com atenção especial para organizações com grandes volumes de cargas de usuários simultâneos ou grandes frotas de dispositivos da Internet das Coisas (IoT) que precisam ser autenticados e autorizados na rede.
OSSEC
OSSEC é um sistema de detecção de intrusão baseado em host (HIDS) de código aberto. É amplamente usado, muito escalonável e multiplataforma, tornando-o adequado para implantação em uma infraestrutura baseada em nuvem.
O OSSEC tem uma enorme base de usuários, com mais de 500.000 downloads a cada ano, conforme relatado pela equipe do projeto OSSEC. Um dos pontos fortes do OSSEC é que ele pode ser usado tanto como um IDS quanto como um mecanismo analítico, permitindo a análise de firewall, IDS, servidor web e logs de autenticação.
Como um projeto de código aberto distribuído sob a licença GNU GPL V2, OSSEC pode ser prontamente modificado para atender às necessidades específicas de uma organização. Em configurações padrão, o OSSEC fornece detecção de intrusão, rootlet e malware; resposta ativa a ataques e mudanças não autorizadas no sistema; e auditoria de conformidade.
Security Monkey
O Security Monkey é uma das ferramentas que surgiram da disciplina de “engenharia do caos” da Netflix, que também lançou o Chaos Gorilla, o sucessor do Security Monkey. Juntos, eles são chamados de “Exército Simian”, que testa a infraestrutura Netflix quanto a fraquezas e redundância.
Em seu núcleo, o Security Monkey reinicializa aleatoriamente os servidores em uma infraestrutura em nuvem. Isso fornece à empresa informações sobre se a rede de distribuição de aplicativos pode suportar a perda de qualquer servidor específico.
Para fornecer o recurso de reinicialização aleatória, o Security Monkey também pode monitorar uma infraestrutura de nuvem para alterações de configuração, adições de servidor e parâmetros de desempenho do servidor. Mesmo se uma empresa não usar os recursos de reinicialização aleatória, o Exército Simian pode fornecer sistemas valiosos e recursos de monitoramento de configuração.
É importante observar que o Security Monkey está no modo de fim de vida e receberá apenas atualizações de manutenção. O projeto recomenda que os usuários que desejam usar recursos adicionais façam a transição para outros produtos: os usuários da AWS são incentivados a mudar para o AWS Config , enquanto os usuários do GCP são direcionados para o Cloud Asset Inventory .
Cartography
Cartografia é uma ferramenta de gráfico de segurança que permite um amplo conjunto de cenários de exploração de rede. Para profissionais de segurança em nuvem, uma das tarefas valiosas que a cartografia pode fornecer é iluminar os relacionamentos que existem entre os vários nós em uma rede de entrega de aplicativos.
A cartografia é escrita em Python e usa um banco de dados neo4j para armazenar dados nos nós da rede e controlar como eles são exibidos. A cartografia é compatível com plataformas que incluem Amazon Web Services (EC2, Elasticsearch, Elastic Kubernetes Service, DynamoDB, IAM, Lambda, RDS, Redshift, Route53, S3, STS e Tags) e Google Cloud Platform (Cloud Resource Manager, Compute, DNS , Armazenamento e Google Kubernetes Engine).
Enquanto o Security Monkey, o Chaos Gorilla e o Simian Army saíram dos laboratórios da Netflix, a Cartografia foi desenvolvida como uma ferramenta de código aberto pela Lyft. Ele pode ser usado para funções de segurança e como uma ferramenta de avaliação de risco, mostrando (ou confirmando) relacionamentos entre os nós do aplicativo que podem indicar o nível de risco para os componentes da rede e a rede como um todo.
Grapl
Grapl é um programa de análise de dados de segurança que difere da maioria dos outros produtos de segurança de código aberto em um aspecto fundamental: em vez de usar um banco de dados relacional como mecanismo para armazenar dados, Grapl usa gráficos – uma estrutura de dados usando nós e arestas, em quais nós são as entidades de dados individuais e as bordas são os relacionamentos entre os nós.
Grapl pegará dados de arquivos de log – dados geralmente armazenados em formato de lista – e os converterá em gráficos. Uma vez na forma de gráfico, os relacionamentos entre nós individuais podem ser vistos mais prontamente. Os comportamentos do invasor que tiram vantagem dessas relações também podem ser percebidos e modelados. As equipes de segurança podem usar os modelos para planejar defesas e analisar o comportamento complexo do invasor para se preparar para ataques futuros.
Grapl é um programa jovem que está mudando rapidamente e não tem um status de versão 1.0 estável. É funcional, no entanto, e mesmo em seu estado existente, fornecerá às equipes de segurança a oportunidade de aprender como os gráficos podem ser usados em suas práticas profissionais.
Panther
Panther é uma ferramenta de gerenciamento de eventos e informações de segurança de código aberto (SIEM) auto-hospedada baseada em Python. O sistema, lançado em 2020 pela Panther Labs, pode analisar logs de muitas ferramentas de segurança diferentes – como OSSEC e osquery – e recursos de nuvem, incluindo muitos dos serviços fornecidos na AWS. Na análise dos recursos da nuvem, o Panther pode ser configurado com políticas projetadas para ajudar os analistas de segurança a descobrir a infraestrutura vulnerável e desenvolver novas práticas recomendadas de segurança.
O Panther se destina a fornecer recursos competitivos com produtos de gerenciamento e análise corporativos, como os do Splunk e LogRhythm. De acordo com sua documentação, a Panther identificará configurações incorretas, alcançará a conformidade e modelará as melhores práticas de segurança no código.
O Panther está disponível em três versões: Community (gratuito), Team e Pro. Team e Pro são licenças pagas, com mais fontes de dados, recursos adicionais e suporte mais abrangente com preços mais altos.
FONTE: DARK READING