[Информационная безопасность, Софт] Мониторинг атак
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Каким образом можно мониторить количество атак, которые проводятся по отношению к инфраструктуре компании? Один из способов это установка специальных систем, которые называются honeypot. Honeypot это ловушка, позволяющая полностью или частично записать последовательность действий, которые выполняются атакующим. В данной статье попробуем выбрать и настроить honeypot, а в качестве системы мониторинга будем использовать ELK стек.Выбор honeypotЛюбая атака на информационную систему возможна в случае наличия в этой системе уязвимости. Классов уязвимостей достаточно много, для примера можно использовать TOP 25 MITRE. Это только самые популярные уязвимости. Если проанализировать список, то можно заметить, что уязвимости в списке могут быть обнаружены в разных частях операционой системы и любого программного обеспечения. Каждая подсистема в которой может появиться уязвимость работает на основе отдельной технологии и зачастую логирование промежуточных данных и запись событий в этих подсистемах очень лимитированы. Из-за этого для того чтобы мониторить атаки, нужно определить какие именно атаки действительно могут нанести системе серьезный ущерб. Выделим типы атак, которые могут быть проведены на информационную систему:
- Атаки на веб-приложение
- Атаки на операционные системы серверов и пользователей
- Атаки на сетевое оборудование
Для всех типов атак существуют свои версии ловушек, которые могут предоставить информацию по атакующим узлам и набору программного обеспечения, которое интересует атакующих. В этой статье будем рассматривать ловушки, которые доступны в OpenSource.Ловушки для вебаСамый распространенный вид ловушек, в большинстве случаев представляет собой отладочную версию веб-приложения. Почти всегда используется для мониторинга атак на конкретные популярные CMS. Из-за большого количества фреймворков и языков программирования в этой области, создание общей ловушки достаточно сложный процесс. Поэтому ловушки строятся или под публичную уязвимость или под одно приложение. Примеры проектов, которые могут быть использованы для мониторинга атак:
- Ловушка для форм Symfony2 EoHoneypotBundle;
- Ловушка на Python для эмуляции классов уязвимостей Share;
- Ловушка для nodeJS приложений;
- Ловушка c уязвимой версией Drupal CMS;
- Ловушки для отслеживания атак на ELK.
Ловушки для сервисов ОСОтдельный набор ловушек, который старается подражать действиям сервисов операционных систем. Обычно для мониторинга и логирования используется эмулятор, который перехватывает системные вызовы для ядра ОС и пишет все промежуточные данные. Примеры имплементации таких ловушек:
- Ловушка, которая представляет собой ADB сервис ОС Androidl
- Ловушка эмулирующая SMB протокол;
- Ловушка для мониторинга атак на RDP.
НастройкаДля полноты покрытия атак попробуем настроить ловушку, которая включает в себя все типы ловушек. Проводить настройку нашей ловушки будем на базе операционной системы Ubuntu 20.04, которая запущена на виртуальной машине Virtual Box. Чтобы максимально упросить процесс настройки и не терять времени на поиск зависимостей для ловушки, будем использовать готовые Image, которые доступны на Docker Hub. Для быстрого обнаружения уже собранных Image воспользуемся поисковиком Google и введем следующий запрос:
honeypot ELK inurl:hub.docker.com
Поисковик на Docker Hub не работает гибко с критериями, которые необходимо найти в описании Image. В итоге у нас есть обширный набор Image с уязвимыми версиями ELK и Image с ELK в качестве системы накопления и визуализации.
Для экспериментов возьмем вот этот проект. Он сразу включает в себя ELK+honeypot. Клонируем проект на машину с предустановленным Docker:
git clone https://github.com/kobadlve/underworld.git
Зайдем в склонированную директорию и выполним команды:
docker-compose build
docker-compose up
Но не всё так просто, чтобы сборка прошла успешно придется локально выкачать Logstash отсюда. И отредактировать вот этот файл.
FROM logstash
MAINTAINER kobadlve
USER root #<= new line
ADD conf/ /root/conf
...
И после этого можно перезапускать команды на сборку и запуск ловушки. По результатам, если провести сканирование машины с ловушкой будет вот такой результат nmap:
Теперь отправляя запросы на открытые порты можно наблюдать в Kibana (порт машины с ловушкой 5601). Все действия, которые выполняются в процессе отправки данных на каждый из портов. Таким образом можно теперь мониторить атаки, которые могут быть проведены на информационную систему.
Прямо сейчас в OTUS открыт набор на новый поток курса "Мониторинг и логирование: Zabbix, Prometheus, ELK". Уже сегодня пройдет бесплатный вебинар в рамках которого вы сможете узнать о карьерных перспективах в данной области.Записаться на вебинарТакже предлагаем посмотреть запись демо-урока курса по теме: "ELK стэк"
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Исследования и прогнозы в IT, Финансы в IT] В 2020 году число утечек в российских банках выросло на 36,5%
- [Информационная безопасность, .NET, PowerShell, Visual Basic for Applications] Созданные с помощью библиотеки .NET документы Excel обходят проверки безопасности (перевод)
- [Информационная безопасность, IT-инфраструктура, Service Desk, Карьера в IT-индустрии] 5 причин не уходить из техподдержки во внедрение
- [Информационная безопасность, Законодательство в IT, IT-компании] ФБР рассказало, как взламывало iPhone террориста из Сан-Бернардино в 2016 году
- [Софт, IT-компании] Вебинар “ИТ-вызовы 2021 года: с чем бороться и как эффективно защищать свою сеть”
- [Системное администрирование, Kubernetes] 29 апреля состоится Online Monitoring Meetup, Kubernetes: мониторинг c помощью Prometheus
- [Open source, Разработка под Linux, Софт] Линус Торвальдс остался недоволен рядом моментов в использовании Rust для Linux
- [IT-инфраструктура, Big Data, Исследования и прогнозы в IT, Интернет вещей, Data Engineering] Почему мониторинг простоев тянет бизнес на дно?
- [Обработка изображений, Машинное обучение, Софт, Искусственный интеллект] Распознавание документов для целей ДБО
- [Информационная безопасность] Модель угроз: как и зачем мы поделили хакеров на категории
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_soft (Софт), #_elk, #_monitoring (мониторинг), #_blog_kompanii_otus (
Блог компании OTUS
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:33
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Каким образом можно мониторить количество атак, которые проводятся по отношению к инфраструктуре компании? Один из способов это установка специальных систем, которые называются honeypot. Honeypot это ловушка, позволяющая полностью или частично записать последовательность действий, которые выполняются атакующим. В данной статье попробуем выбрать и настроить honeypot, а в качестве системы мониторинга будем использовать ELK стек.Выбор honeypotЛюбая атака на информационную систему возможна в случае наличия в этой системе уязвимости. Классов уязвимостей достаточно много, для примера можно использовать TOP 25 MITRE. Это только самые популярные уязвимости. Если проанализировать список, то можно заметить, что уязвимости в списке могут быть обнаружены в разных частях операционой системы и любого программного обеспечения. Каждая подсистема в которой может появиться уязвимость работает на основе отдельной технологии и зачастую логирование промежуточных данных и запись событий в этих подсистемах очень лимитированы. Из-за этого для того чтобы мониторить атаки, нужно определить какие именно атаки действительно могут нанести системе серьезный ущерб. Выделим типы атак, которые могут быть проведены на информационную систему:
honeypot ELK inurl:hub.docker.com
Для экспериментов возьмем вот этот проект. Он сразу включает в себя ELK+honeypot. Клонируем проект на машину с предустановленным Docker: git clone https://github.com/kobadlve/underworld.git
docker-compose build
docker-compose up FROM logstash
MAINTAINER kobadlve USER root #<= new line ADD conf/ /root/conf ... Теперь отправляя запросы на открытые порты можно наблюдать в Kibana (порт машины с ловушкой 5601). Все действия, которые выполняются в процессе отправки данных на каждый из портов. Таким образом можно теперь мониторить атаки, которые могут быть проведены на информационную систему. Прямо сейчас в OTUS открыт набор на новый поток курса "Мониторинг и логирование: Zabbix, Prometheus, ELK". Уже сегодня пройдет бесплатный вебинар в рамках которого вы сможете узнать о карьерных перспективах в данной области.Записаться на вебинарТакже предлагаем посмотреть запись демо-урока курса по теме: "ELK стэк"
=========== Источник: habr.com =========== Похожие новости:
Блог компании OTUS ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:33
Часовой пояс: UTC + 5