9 незаменимых инструментов безопасности с открытым исходным кодом

Эксперты по кибербезопасности полагаются на решения с открытым исходным кодом во многих областях — не в последнюю очередь потому, что они, как правило, поддерживаются активным и полезным сообществом. Но также и потому, что на сегодняшний день существуют сотни высококачественных, открытых вариантов для предотвращения взломов и утечек данных на всех уровнях корпоративного стека.

Если вы уже мысленно готовите дубинку в виде уязвимости xz-utils: да, в будущем возможны и другие инциденты такого рода. Однако можно усомниться, что аналогичная уязвимость была бы так же быстро обнаружена в проприетарном стеке. В конце концов, именно открытый исходный код позволяет независимым экспертам по безопасности своевременно выявлять подобные проблемы. Короче говоря: преимущества инструментов с открытым исходным кодом перевешивают возможные опасности — в том числе и в области кибербезопасности.

CSO, CISO и их команды не должны обходиться без следующих инструментов безопасности с открытым исходным кодом. Например, для:

• идентификации уязвимостей,

• анализа журналов,

• инициирования судебно-медицинских расследований, а также

• обеспечения поддержки Threat Intelligence и шифрования.

1. ZAP для сканирования уязвимостей

Zed Attack Proxy — сокращенно ZAP — это бесплатный инструмент с открытым исходным кодом для тестирования на проникновение. Сканер предназначен для обнаружения потенциальных уязвимостей и брешей в безопасности веб-приложений и опирается на обширные знания сообщества.

ZAP располагается между браузером и тестируемым веб-приложением и способен модифицировать все пакеты при прохождении возможных векторов атак. По сути, это прокси с расширенными возможностями для поиска уязвимостей. Для этого ZAP предоставляет набор предопределенных методов атаки. Для тестирования на предмет конкретных рисков этот инструмент с открытым исходным кодом также может быть оснащен пользовательскими полезными нагрузками и правилами.

ZAP активно развивается и имеет амбициозную дорожную карту в отношении будущих функций. Оптимизированный скриптинг там представлен наравне с более широкой поддержкой таких протоколов, как gRPC. Инструмент доступен для загрузки в виде различных установщиков для всех распространенных операционных систем.

2. Wireshark для анализа пакетов

Наблюдение за линиями связи в сети — один из самых целенаправленных методов обнаружения утечек данных. Для этих целей Wireshark является столь же проверенным, сколь и высококачественным инструментом: он анализирует биты, проходящие через проводные или беспроводные сети, и сопоставляет их с набором правил, который, в свою очередь, основан на информации из сотен различных сетевых источников.

Если вас интересует определенный тип трафика данных, исходящий от конкретного программного пакета, также можно определить соответствующие фильтры. Этот инструмент с открытым исходным кодом работает на большинстве распространенных операционных систем, включая все варианты Unix.

Сообщество Wireshark за последние годы выросло и активно участвует в создании документации и учебных материалов, что подтверждает взгляд на официальный веб-сайт.

3. Bloodhound Community Edition для реагирования на инциденты

При возникновении инцидента безопасности профессионалы в области безопасности используют инструменты криминалистики для отслеживания путей атаки злоумышленников. Это возможно, например, с помощью Bloodhound Community Edition, версии с открытым исходным кодом известного корпоративного инструмента (который поддерживается той же командой).

Инструмент с открытым исходным кодом обеспечивает прозрачность в сети взаимоотношений между средами Active Directory и Azure и, таким образом, способен идентифицировать даже высокосложные «Пути атаки» и закрывать обнаруженные в их рамках уязвимости. Инструмент подходит как для Red-, так и для Blue команд.

4. Autopsy для киберкриминалистики

Autopsy — это платформа с открытым исходным кодом для ИТ-криминалистики, предназначенная для тщательного исследования жестких дисков (или их образов). Программное обеспечение также может быть расширено с помощью многочисленных модулей для идентификации специфических типов данных, связанных с определенными видами компрометации.

Например, «Модуль обнаружения несоответствия расширений» (Extension Mismatch Module) исследует внутреннюю структуру файлов и сопоставляет ее с их именами. Если возникают расхождения, это является первым признаком того, что злоумышленники используют трафик для сокрытия чего-либо. Кроме того, Autopsy предлагает, среди прочего, расширения для обучения и поддержки.

5. MISP для Threat Intelligence

Когда речь идет о широкомасштабных коллективных усилиях, инструменты и платформы с открытым исходным кодом могут проявить себя. Платформа обмена информацией о вредоносном ПО — сокращенно MISP — является лучшим примером этого. Платформа вступает в игру, когда необходимо проанализировать данные инструментов ИТ-криминалистики: она собирает информацию о потенциальных векторах атак в обширной базе данных и предоставляет возможность сопоставлять эту информацию с собственными данными через поисковую систему. Решение поддерживает гибкую объектно-ориентированную модель данных, которая визуализирует различные индикаторы компрометации (Indicators of Compromise, IoC) и предоставляет информацию как о технических, так и о нетехнических деталях. Алгоритм индексации, поддерживающий «Нечеткое сопоставление» (Fuzzy Matching), автоматически выявляет возможные совпадения.

MISP был специально разработан для команд безопасности, чтобы сотрудничать с помощью общих временных шкал и графов событий. Этот проект с открытым исходным кодом поддерживается Европейским Союзом и пользуется поддержкой различных обширных сообществ. Веб-инструменты MISP, в основном написанные на PHP, также доступны в виде исходного кода для загрузки.

6. Let’s Encrypt для шифрования

Алгоритмы шифрования создают основу для безопасности, защиты данных и аутентификации и доступны в целом ряде библиотек с открытым исходным кодом. Кроме того, многие инструменты с открытым исходным кодом также полагаются на эти алгоритмы.

Например, набор скриптов Let’s Encrypt. Он разработан для облегчения жизни системным администраторам путем оснащения веб-серверов функциями шифрования. Администраторам нужно лишь ответить на несколько вопросов — соответствующие сертификаты для пользователей генерируются автоматически и гарантируют защиту всех передаваемых в этих рамках данных.

7. GNU Privacy Guard для шифрования

Полная реализация стандарта PGP для защиты коммуникаций предоставляется GNU Privacy Guard.

Цель состоит в том, чтобы дать конечным пользователям возможность шифровать и подписывать свои электронные письма. Поддерживаются как взаимодействия Secure Shell, так и S/MIME.

8. Yara для сопоставления с образцом

При идентификации и классификации образцов вредоносного ПО многие специалисты по вредоносному ПО полагаются на проект с открытым исходным кодом Yara.

Однако инструмент с открытым исходным кодом может делать больше и полезен в области реагирования на инциденты и ИТ-криминалистики: он ищет идентичные шаблоны в файлах или запущенных процессах на основе предварительно настроенных и пользовательских правил. Кроме того, могут быть использованы сигнатурные данные вирусов из инструмента с открытым исходным кодом ClamAV, а также наборы правил из поддерживаемого сообществом репозитория YaraRules. Важно помнить об ограничениях сигнатурного обнаружения — и не полагаться исключительно на этот инструмент с открытым исходным кодом.

Yara может быть запущен либо через командную строку, либо интегрирован в соответствующие скрипты через библиотеку Python.

9. OSquery для запросов к конечным точкам

Простой поиск вредоносных процессов, плагинов или уязвимостей на конечных точках Windows, Mac и Linux с помощью SQL-запроса — в этом идея OSquery, инструмента с открытым исходным кодом, разработанного инженерами-программистами Facebook.

Программное обеспечение собирает информацию об операционной системе, такую как запущенные процессы, загруженные модули ядра, открытые сетевые соединения, плагины браузера или хеши файлов, в реляционной базе данных. Вы можете запрашивать их с помощью простых SQL-запросов — без сложного кода на Python. Таким образом, OSquery решает значительную проблему простым и элегантным способом.

Компоненты инструмента включают интерактивную оболочку OSqueryi, которую можно использовать с PowerShell, а также демон OSqueryd, который используется для (низкоуровневого) мониторинга хоста и позволяет планировать запросы к базе данных. (fm)