Рубрики
Uncategorized

Как автоматизировать кибер -оборону, не заплатив копейки

Эта статья была первоначально размещена в блоге CRFT. Андре Гиронда — ветеран кибербезопасности с … с меткой безопасности, OpenSource, AWS, DevOps.

Эта статья была первоначально размещена в Блог CRFT .

Андре Гиронда является ветераном кибербезопасности с более чем 30 -летним широким воздействием отрасли. Я попросил Андре поделиться своими рекомендациями по экономически эффективным наборам инструментов и фреймворкам, которые действительно меняют игру для команд защиты кибербезопасности, когда они переходят в облако.

Я соединял инциденты кибербезопасности с глобальными геополитическими событиями в течение последних двух десятилетий. После реагирования на разливы данных, а также на целостность данных или целостность системы и инциденты доступности, включая компромисс системы и отказ в обслуживании, я могу с уверенностью сказать, что облако является просто еще одной целью. Как традиционные инфраструктуры, так и облачные инфраструктуры должны рассматриваться от кибер -обороны. Без оскорблений и защиты правильно связаны, ни один из них не будет полностью способен. Одним из стандартов, который рассматривает этот пробел, является MITRE Кибер -упражнения Playbook , хотя я бы хотел, чтобы это было более универсально принято. Если мы не тренируемся так, как наступают реальные события, то нет смысла ни в чем о чем -то еще, что мы делаем.

В некоторых случаях я рекомендовал (и, честно говоря, критикует) Securityonion (Итак) Distribution Linux, который является готовым к производству, всегда на суперплатформе. К сожалению, один из его недостатков заключается в том, что он не очень хорош в анализе артефактов конечных точек. Тем не менее, в 2019 году Дуг Беркс и другие участники изменили игру: SecurityOnion был улучшен с конкретными интеграциями и возможностями обнаружения, которых я больше нигде не видел. Платформа теперь достаточно широкая, чтобы поддержать традиционные, облачные и смешанные среды. Особенно,

  • Интеграция Elastic Basic (бесплатные дополнительные функции!), Elastalert, Zeek, Rita, Strelka, The Hive и платформ обмена информацией о вредоносных программах (MISP),
  • масштабирование с помощью trimpcap, redis, logstash и куратора,
  • и обогащение с помощью FreqServer, Domainstats и аналитика VM (с Capme to Wireshark, NetworkMiner и Sguil) завершает столь необходимый набор функций.

Тем не менее, я также хотел бы, чтобы это было дано больше Необываемая инфраструктура лечение и, возможно, добавление Logontracer и Sysmonsearch.

Есть некоторые области потенциального роста для Securityonion, которые я хотел бы выделить. Таким образом, использование растущих агентов Ossec/Wazuh, выступающих на уровне большинства поставщиков обнаружения и отклика конечных точек (EDR), и даже при интеграции Sysmonsearch было бы трудно конкурировать с Volexity, Velociraptor или Limacharlie.

Сами решения EDR предстоит пройти долгий путь. Некоторые из них (возможно, не конечный или Sysmon, но другие, безусловно,) являются консолидацией управления уязвимостью в направлении без сканирования архитектуры. Другие решения по управлению уязвимостью, такие как Vulcan Cyber, стремятся объединить традиционную инфраструктуру, облачные инфраструктуры и даже уязвимости безопасности приложений под одним баннером решения, включая исправление полного стека.

Другие препятствия для объединения возможностей EDR в суперплатформы выходят за рамки сопротивления и медленного внедрения. История Elastic начала свое первоначальное публичное предложение (IPO), за которым последовали приобретения конечного клуба и расположены, но все еще есть способы пойти. На этом этапе у Elastic Enterprise слишком много агентов. В то время как эластичная безопасность конечной точки обеспечивает платформу для защиты конечных конечных точек (EPP) и EDR, другие части требуют отдельных агентов. AuditBeat необходим для контейнеров Linux (для обеспечения активности и событий уровня ATT & CK), а также классической логмопроводности для неконтентованных журналов.

Контейнеры быстро становятся большим бизнесом для облака и в таких гибридах, как Google Anthos. » DevOps с Kubernetes «By Packt Publishing отлично справляется с использованием бегства для Elasticsearch, еще одной кусочкой этой головоломки. Команды DevOps любят легких агентов (например, бегство), но их функции безопасности часто уходят на заднее сиденье. В кибер -защите очень важно признать, что некоторые из наших любимых инструментов не соответствуют всем «болтам». Чтобы в полной мере реализовать суперплатформу, нам нужно будет рассмотреть правильный, правильный EDR, подходящий для всех типов будущих архитектур.

Есть ли другие платформы в кибер -обороне? Может Skadivm , CSI Linux и Паладин инструментальный ящик — Полностью спасение в жизни в сочетании с борцом изображения Арсенала. Я использую их в качестве автономных платформ, часто, часто только для криминалистики памяти/диска, даже чаще всего как Deadbox Анкет Хотелось бы, чтобы был лучший способ, но эти инструменты также прошли долгий путь в недавней истории по сравнению с судебно -медицинскими инструментами Темного прошлого. Любой, кто пытался выполнить цифровую криминалистику в облаке, может подтвердить отсутствие готовности и поддержки инструментов.

Как отрасль, мы должны интегрировать облачную защиту с платформами выше. Cloudtrail-Anomaly и Diffy, оба из Netflix Scunkworks, являются лучшими в настоящее время для того, что они делают, но доступны только на AWS. Поскольку все больше организаций завершают свои облачные стратегии, мы увидим внедрение Google Cloud Platform (GCP), Azure, Nvidia GPU Cloud (NGC), DataBricks, IBM Cloud (ранее SoftLayer), DigitaloCean, Paperpace и многие другие.

Как дар Ной придумал его в своей новой книге «О’Рейли», « Python for DevOps », Многократный Является ли концепция использования оркестровки облачных контейнеров и инфраструктуры как код (IAC) с такими инструментами, как Terraform для избыточности и дифференциации цен. AWS оценил заряды и EC2 Spot, но мы начнем видеть платформы, которые максимизируют экономию средств в нескольких облачных средах. Какое влияние будет влиять на кибер -защиту?

Эксперты по облачной безопасности, такие как Скотт Пайпер, Крис Фаррис и Уильям Бенгтсон, оказывают значительное влияние на наше будущее благодаря их невероятному вкладу. Изучение более дешевых и более эффективных способов практиковать защиту AWS в целом. Например, что более экономично: отказ от CloudWatch (на минимум 5 ГБ), чтобы полагаться исключительно на CloudTrail и GuardDuty с доступом к своим наборам данных через CloudTrail-Partitioner? Или, максимизируя использование Ultrawarm с помощью Amazon Elasticsearch, Access Analyzer, AWS Systems Manager (с агентами SSM) или даже в центре безопасности AWS?

Суть в том, как начать:

  1. Получите тактический менеджер корпусов, как Телео или Инцидент пони для AWS;
  2. Встать Мастер Securityonion с интеграцией MISP в управление инцидентами и Sysmonsearch;
  3. Настройка переключателя Ethernet или VPC -трафика, зеркалирующего на So Forward Nodes;
  4. Подпишитесь на лицензию Elastic Basic ( бесплатно ), эластичное облако или Amazon ES; а также
  5. Завершите свою защиту суперплатформы, чтобы поддержать все ваши традиционные и много облака требования.

Оригинал: «https://dev.to/ag0x00/how-to-automate-cyber-defense-without-paying-a-dime-551e»