10 Open Source EDR-værktøjer til at forbedre din Cyber-Resilience Factor
Hvordan du integrerer Open-Source EDR-værktøjer i dit cybersikkerhedsøkosystem
This post is also available in:
English
Dagens e-trussler har udviklet sig. Vi, de digitale beboere på internettet, står over for sådanne indviklede malware, der får os til at overveje, om det er bedre at opgive alt håb og afbryde alt connection eller søge efter bedre måder at beskytte vores endpoints og personlige oplysninger. For et halvt århundrede siden blev Creeper-systemet frigivet i vildnæsset. Det skulle være den første ‘selvkopierende computervirus’ i historien.
I dag hører virus som Creeper System, The Form, Ghostball eller Father Christmas til bag en digital montre, da de ikke længere er i stand til at skade vores systemer. Men ‘gamle’ vaner dør sjældent (eller aldrig). Virusser har overlevet deres egen udryddelse, og taget mere ondartede former – ransomware, spyware, adware, fileless malware, og mange andre ‘ware-typer’, der er forpligtet til at sætte spørgsmålstegn ved dit digitale liv.
I cybersikkerhed, er der dette citat: “antivirussoftware er ikke nok”. Bortset fra markedsføring konsekvenser, er AVS’er simpelthen for dårligt rustet til at beskæftige sig med sofistikerede, high-end e-trusler, der er manipuleret til at undgå rudimentære, adfærdsmæssigt baseret opsporing.
Denne game changing måde at arbejde og virke på, har brug for et skarpt svar, på Defenders side. Endpoint Detection and Response (EDR) blev derfor født.
Deconstructing Endpoint Detection and Response
Udtrykket ‘EDR’ blev første gang bragt til offentligheden i 2013 af Anton Chuvakin, Gartner’s Research Director for Technical Professionals, og lederen af Security and Risk Management Strategies team. Chuvakin bekræftede behovet for en ny malware-opsporings metode og værktøj i stand til at “opdage og undersøge mistænkelige aktiviteter (og spor af sådanne) og andre problemer på vært / endpoints.”
EDR er en strategisk tilgang til malware, der understreger digital profylakse (forebyggelse), screening og detektion over afbødning (‘skadeskontrol’). Det er uden tvivl et stort spring fra den klassiske afsløring og afhjælpnings metode, baseret på post-indtrængen behaviorisme.
Med andre ord, AV motorer kan kun anbefale sikkerhedsforanstaltninger (dvs. rengøring, karantæne, sletning, osv.) baseret på, hvordan den potentielt skadelige fil eller element opfører sig, mens den interagerer med forskellige processer.
De fleste ‘moderne’ skadelige indhold er specielt udviklet til at ‘gøre’ så meget skade som muligt efter etablering af et ’beachhead’(dvs. infiltrere dit endpoint og / eller netværk). Fra disse udtalelser, kan vi udlede følgende – den epistemologiske skelnen mellem EDR og C.A.V.C.D.M. (Canonical AV-Centric Detection-Mediation methodology) er en kausalitet; antivirus-centreret afslørings-mæglings systemer beskæftiger sig med e-trussel, efter at det succesfuldt har infiltreret endpoint og/eller netværk, mens EDR fokuserer på D & M før malware infiltration.
Der er andre aspekter værd at tage hensyn til – under EDR, digital / computer forensics bliver “rygraden” i trusselsdetektion.
Selv terminologien fremskynder den samme konklusion – I.O.A (Indikator of attack), I.O.C (Indikator of compromise), HIPS (Host-Intrusion Prevention System), og HIDS (Host-Intrusion Detection System).
Min kollega dækkede alle de teknologiske dele af EDR og andre teknikaliteter i et nyligt offentliggjort materiale. Du er velkommen til at se mere på hendes artikel for mere information om, hvordan EDR har ændret reglerne for trusselsopsporingsspillet.
Omfavn endpoint detektion and respons modellen
Fuld-skala vedtagelse og implementering af Endpoint Detection and Response modellen har været det primære mål for mange virksomheder og institutioner siden 2011 – de fleste cybersikkerheds analytikere og forskere betragter dette år som et vendepunkt (eller kogepunkt) i malware evolution. En Varonis rapport afslører, at i Q3 2011, er ca 60,000 nye ransomware stammer blevet opdaget.
Antallet af nye ransomware stammer ville være steget med en faktor på tre, og nå 200,000 ved udgangen af Q3 2011. Præget af stigningen i den berygtede Chimera, er 2015 officielt proklameret året for ransomware – over 700,000 nye ransomware stammer og 300 millioner dollars udbetalt til ondsindede aktører.
Man tænker over den (eksponentielle) vækstrate, den dominans, og den mutationsfaktor (hundredvis af nye stammer blev bygget hver eneste dag ved at begå minutændringer til en eksisterende stamme). Der var en elektrificerende ramaskrig fra offentligheden – en form for counterstrike var påkrævet, ellers kunne hele økonomien have været bragt i spil i et spørgsmål om nanosekunder.
EDR, er langt fra den eneste trussels-opsporings / trussels-afbødnings metode i stand til at lave ubalance. Det var et udspil, men det gav pote – langsomt, men støt, integrer flere og flere virksomheder og offentlige institutioner EDR i deres cybersikkerheds økosystemer.
Selvfølgelig kan man kun undre sig over, hvorfor ikke alle virksomheder gennemfører noget af dette, hårdt tiltrængte, EDR ‘polstring’?
En NinjaRMM rapport giver et indblik i denne tilsyneladende ‘uhåndterlighed’ på vegne af virksomhedsejere og beslutningstagere. Rapporten, som for det meste var rettet mod MSP’er og interne it-teams, påpegede, at den største “showstopper” for vedtagelsen af EDR er manglen på budget.
Over 50% af respondenterne erklærede, at EDR i it-interne teams ikke er muligt, da det medfører omkostninger, der overstiger det tildelte budget for cybersikkerhedssoftware/-løsninger. På den anden side er den eneste indvending bag EDR’s vedtagelse ud fra et MFP’s synspunkt manglen på arbejdskraft (dvs. ikke tilstrækkeligt kvalificeret personale til at forvalte denne type cybersikkerhedsøkosystem).
For nogle geografiske områder var det nødvendigt at fast-trackke gennemførelsen af EDR. Som følge heraf var USA blandt de første lande til at anerkende fordelene ved denne tilgang og fremskynde dens anvendelse. En rapport fra Statista afslører, at der i 2019 blev udført over 10 milliarder ondsindede angreb.
Desuden hedder det i samme rapport, at mere end 50% af disse angreb fandt sted i USA. Andre lande vil snart følge i deres fodspor: Kina, Indien, Indonesien, De Forenede Arabiske Emirater, Qatar og flere sydamerikanske lande. Europa var blandt de sidste regioner, der godkendte udbredelsen af EDR.
Endpoint Detection and Response er en effektiv teknologi til trusselsopsporing/trusselsrensning. Alligevel kan omkostningerne alene afholde virksomhedsejere eller beslutningstagere fra at gennemføre den.
I mellemtiden, hvis du planlægger at placere EDR på virksomhedens køreplan, er et test-drev berettiget. Heldigvis, hvis du ikke er klar til at afsætte omfattende ressourcer til at gennemføre EDR, er der nogle gratis, open source EDR-værktøjer, du kan afprøve. Nedenfor finder du en lille liste over de mest populære EDR-værktøjer på nettet, og hvordan du kan bruge dem til at øge din virksomheds investeringsafkast.
- Next-gen Antivirus & Firewall which stops known threats;
- DNS traffic filter which stops unknown threats;
- Automatic patches for your software and apps with no interruptions;
- Privileged Access Management and Application Control, all in one unified dashboard
Open source-EDR-værktøjer
1. OSSEC
OSSEC er open source og gratis software, der tilbyder HIDS, HIPS, log analyse, real-time Windows registreringsdatabase overvågning, og andre EDR-funktioner. Softwaren kan downloades fra den officielle hjemmeside eller udviklerens GitHub side. OSSEC er for det meste rettet til store virksomheder, små og mellemstore virksomheder og statslige organer på jagt efter server intrusion detection systemer og / eller løsninger.
OSSEC EDR-FUNKTIONER
- LIDS (Log-baseret Intrusion Detection)
Scanner og analyserer logdata, der kommer fra flere endpoints.
- Funktioner til registrering af malware og rootkit
Anvender scanning på proces- og filniveau til at registrere hvilende eller aktive skadelige programmer, herunder rootkits.
- Aktivt svar
Firewall politik benchmarking, støtte til integration med / i 3 part apps. OSSEC’s aktive svar funktion nævner også noget om “selvhelbredende handlinger”, men undlader at uddybe.
- FIM (filintegritetsovervågning)
Overvågning af vinduer i realtid og overvågning af filregistreringsdatabasen. I stand til at producere tekniske kopier til at lette dataanalyse i tilfælde af systemændringer.
- Systemlager
Informationsindsamlingsplatform. I stand til at hente forskellige typer af software og hardware data: lyttere, hardware info, installeret software, versionering, udnyttelsesgrad, og netværkstjenester.
OSSEC kan prale af overholdelse af mange af de fælles branchestandarder såsom CIS og PCI-DSS. Softwaren er kompatibel med Windows, Linux, OpenBSD, macOS, Solaris og FreeBSD. Ingen understøttelse af mobile platforme som Android eller Mac OSX.
Du kan finde flere oplysninger om softwaren og dens EDR-funktioner på den officielle OSSEC-hjemmeside.
2. TheHive Project
TheHive Project er en “sikkerheds hændelses respons (platform) for masserne”, der udnytter open source, skalerbare, og gratis løsninger. Produktet er designet til at hjælpe CERTs, SOC’er og CSIRTs i udarbejdelsen af sikkerhedshændelsesrapporter hurtigere og udarbejde handlingsrettede strategier baseret på forskellige signaler såsom observerbare eller brugerdefinerede advarsler.
I det væsentligste er TheHive Project en samarbejdsplatform, der giver flere brugere (dvs. efterforskere eller analytikere) mulighed for at arbejde på den samme undersøgelse på samme tid. Platformen tilbyder effektive samarbejdsfunktioner som livestreaming, oplysninger i realtid, opgavetildeling og meget mere.
THEHIVE-PROJEKTFUNKTIONER
- Dynamisk dashboard
OTA, cloud-hostet, real-time samarbejde. Avancerede note-udarbejdelses funktioner: tilpassede tags, password-beskyttet ZIP eller RAR arkiver, fremskridt tracker, import ZIP arkiver, der indeholder mistænkelige data og / eller malware, brugerdefinerede skabeloner, enkel eller omfattende metrik, og meget mere.
- Avancerede filtreringsindstillinger
I stand til at håndtere hundredvis af observeringer. Brugerne kan importere eller oprette advarsler baseret på en hvilken som helst hændelse eller alarm. Kundefiltrering er tilgængelig. Når undersøgelseskladden er fuldført, kan skabelonen hurtigt eksporteres og bruges til at beskrive andre lignende hændelser.
- Forensics og Incident Response
Cortex, TheHive Project’s proprietære “observerbare analyse og aktive svar motor” giver en detaljeret oversigt over observeringer (dvs. IP, URL, post-adresse, domænenavn, hashes, filer, osv.) via en web-interface. Andre analyser og hændelses svar funktioner – brugerdefinerede scripts, AP-integration, og avancerede inddæmnings funktioner.
- Krydsanalyse
Hændelsesrapporter kan udarbejdes ved hjælp af analysatorer fra populære webtjenester såsom PassiveTotal, Googles Beskyttede browser, Onyphe, Shodan, VirusTotal, etc via Cortex-modulet. Multi-format Parser i flere formater (OLE, OpenXML); kan bruges til at registrere Visual Basic-makroer, der er integreret i dokumenter.
- Python API til polling analysatorer fra forskellige kilder
TheHive4py’s Python API er et EDR-værktøj, der letter oprettelsen af en sag ved at give investigator adgang til kilder som SIEM og / eller e-mail. Ifølge produktbeskrivelsen, kan denne API blive et uvurderligt værktøj i kampen mod Business Email Compromise.
Se API’ens dokumentation for at få flere oplysninger om produktets B.E.C-funktioner.
3. osQuery
osQuery er en open source, Apache-licenseret enheds forespørgende software, der øger synligheden over dine tilsluttede enheder. Produktet bruger meget grundlæggende SQL-kommandoer til at oprette komplekse “relationelle datamodeller”, hvilket forenkler undersøgelser og/eller revisioner. osQuery er beregnet til små og mellemstore virksomheder.
En “lettere”, hjemmecentreret version er også tilgængelig på produktets officielle hjemmeside. Softwaren er kompatibel med Windows, macOS, CentOS, FreeBSD og Linux (med visse begrænsninger).
OSQUERY-funktioner
- Interaktiv forespørgselskonsol.
Omfattende SQL-dreven konsol, der giver dig et fugleperspektiv af dit operativsystem. Forstærket med tabeller og andre værktøjer, kan konsollen hjælpe brugeren eller undersøgeren til hurtigt at indsamle værdifulde systemdata.
- Modulær kodebase
Sprogbinding er tilgængelig. Alle komponenter er modulære og udviklet ved hjælp af open source API’er.
- Kraftfuld værts-overvågning ’dæmon’
Osqueryd, er osQuery’s dæmon kan samle alle forespørgselsresultater og hjælpe dig med at generere logs meget hurtigere. De resulterende logfiler kan give dig indsigt i dit systems sikkerhed, samt andre nyttige oplysninger: konfiguration, ydeevne, infrastruktur sundhed, osv.
Andre funktioner: AWS-logføring, filintegritetsovervågning, YARA-scanning, registrering af uregelmæssigheder, procesovervågning, fjernindstillinger, avancerede logsammenlægninger og meget mere.
Se osQuerys dokumentation for yderligere oplysninger om produktets EDR-funktioner.
4. Nessus Sårbarheds scanner
Nessus’ letvægts og open source-software er en kommunikations port-scannings værktøj nyttigt til at opdage system sårbarheder – indgangspunkter, der kan udnyttes af ondsindede aktører. Dette værktøj har ikke fuld EDR-kapaciteter, ikke desto mindre, er det effektiv til at identificere brud på sikkerheden. Nessus er kompatibel med enheder, der kører Linux, Windows og macOS.
NESSUS FUNKTIONER
- Brugerdefineret scripting og flere plug-ins
Nessus giver brugeren mulighed for at skrive brugerdefinerede scripts ved at give ham et scriptsprog. Agenten giver også mulighed for flere plug-ins: server afsløring, processor oplysninger, Microsoft Windows ARP tabel, seneste filhistorik, Windows-scanning udføres ikke med Admin privilegier, Microsoft Windows Sidste Boot Time, osv.
- Indikator for programrettelse
Udover sårbarhedsregistreringen, vil portscanneren også komme med forslag til, hvordan sårbarheden kan løses.
- Dybdegående scanning af sårbarhed
Når Nessus er installeret på maskinen, udfører den op til 1.200 kontroller (gennemløb) for at registrere systemsårbarheder.
Yderligere oplysninger finder du på Nessus’ officielle hjemmeside.
5. SNORT
SNORT er en open source og robust intrusion prevention software, der giver brugeren mulighed for at identificere e-trusler ved at analysere pakke logning og real-time netværkstrafik. Produktet er fuldt kompatibelt med Fedora, Centos, FreeBSD og Windows. SNORT markedsføres som et brugervenligt EDR-værktøj, der er nyttigt til revisioner eller undersøgelser.
FUNKTIONER I SNORT
- Multi-mode deployment
SNORT kan konfigureres til at køre i tre tilstande: sniffer (læser netværkspakker og viser dem på din konsol), pakkelogger (logger indholdet af hver pakke og gemmer dem på din lokale disk) og NIDS (forkortelse for Network Intrusion Detection system; real-time analyse af netværkstrafik.)
- Understøttelse af tunnelføringsprotokol til de mest almindelige formater
SNORT understøtter følgende tunnelprotokoller: PPTP over GRE, MPLS, GRE, IP i IP, ERSPAN.
- Flere indstillinger for output i NIDS-tilstand
NIDS-modulet understøtter flere outputindstillinger: Hurtig alarm (advarslen er skrevet ned i et simpelt format, der omfatter kilde, destinations-IP og/port, advarselsoverskrift og -meddelelse og tidsstemplet), fuld alarmtilstand, Unsock (kan sende advarslen til en Unix-type-socket), Ingen advarsel (deaktiverer beskeder), Konsol (viser advarsler om hurtig type på skærmen) og CMG (viser advarsler i CMG-stil).
Yderligere oplysninger om, hvordan du konfigurerer SNORT, finder du på udviklerens officielle websted.
6. Ettercap-projekt
Ettercap Project er et open source-værktøj på tværs af platforme, der simulerer ARP-Poisoning og man-in-the-Middle-angreb på LAN. Dette værktøj kan prale af forskellige sikkerhedsmuligheder såsom netværkstrafik aflytning, aktiv aflytning for de mest almindelige protokoller, netsikkerheds revision, og protokol dissektion. Ettercap Project er kompatibelt med Linux, Solaris, BSD, MacOS X og Microsoft Windows.
ETTERCAP-PROJEKTFUNKTIONER
- Dobbelttilstand
Ettercap Project kan omkonfigurere netværksgrænsefladen til at køre i to tilstande: Promiskuøs, mens en kabelforbundet eller trådløs netværksgrænsefladecontroller får controlleren til at dirigere den indgående trafik direkte til CPU’en i stedet for controllerspecifikke rammer for ARP-Poisoning. Begge tilstande giver dyrebare tekniske oplysninger. Brugeren kan bestemme, hvordan systemet skal handle og reagere under et MiM angreb.
- OS fingeraftryk
Analysere, hvordan OS-fingeraftryk fungerer i realtid.
- IP-baseret filtrering
Brug denne indstilling til at filtrere indgående og udgående pakker efter destination og IP-kilde.
- Understøttelse af plug-in
Ettercaps funktioner kan forbedres via offentligt tilgængelige API’er og plug-ins.
7. Infektion Monkey
Infektion Monkey er et gratis og open source cybersikkerheds vurdering værktøj, der simulerer system brud og APT’er (Advanced Persistent Attacks). Guardicore’s software blev udviklet til sysadmins, der ønsker at sonde en virksomheds sikkerhedsinfrastruktur på jagt efter sårbarheder. Infection Monkey er kompatibel med Microsoft Windows, Linux og macOS X.
INFEKTION MONKEY FUNKTIONER
- Kør virkelige infektions scenarier
Infektion Monkey kan simulere mange typer af ondsindede handlinger såsom Shellshock, Sambacry, ElasticGroovy, Struts2, Weblogic, Hadoop, Credential Stealing, Brute-Force logins.
- Avancerede registreringsfunktioner
Guardicores værktøj kan prale af mange registreringsmetoder såsom advarsler om trafik på tværs af segmenter (kontroller, om dine globale segmenteringspolitikker er korrekt håndhævet), tunnelføring (advarer brugeren, hvis tunnelføring registreres) og analyse af legitimationsoplysninger.
8. Cuckoo Sandbox
Cuckoo Sandbox er et open source sandboxing miljø, der giver brugeren mulighed for at lave karantæne, analysere og dissekere filer der udviser ondsindet adfærd. Værktøjet er kompatibelt med Microsoft Windows, Linux, Mac OS X og Android.
CUCKOO SANDBOX FUNKTIONER
- Kraftfuld fil analysator
Kan sonde forskellige filformater og typer (dokumenter, pdf-filer, executables, e-mails, osv.). Motoren giver også brugeren mulighed for at udføre Cuckoo Sandbox i VM-type miljøer.
- Avanceret hukommelse og netværksanalyse
Undersøgende proceshukommelse ved hjælp af YARA og volatilitet. Netværkstrafikken kan også analyseres før dumping. Det gælder også for trafik krypteret med TLS eller SSL.
9. GRR Rapid Response
GRR Rapid Response er en Apache-licenseret, open source hændelses svar ramme, der anvendes i Remote live Undersøgelser. Værktøjet kan bruges til at udføre minut analyser på et stort antal endpoints. GRR Rapid respons er kompatibel med Microsoft Windows, macOS X, og de fleste Linux typer.
GRR RAPID RESPONSE-FUNKTIONER
- SUPPORT til YARA-biblioteket.
- Søg og download funktioner til arkiv og filer i registreringsdatabasen.
- API udviklet i RESTful JSON og Web UI lavet med AngularJS. Klientbiblioteker omfatter Go, PowerShell og Python.
- Øg skalerbarhedsfaktoren.
- Det kan automatiseres – planlæg opgaver for dine kunder.
- Omfattende overvågningsfunktioner – I/O-forbrug, CPU, hukommelse og brugerdefinerede parametre.
10. MIG af Mozilla
Mozillas MIG er en gratis forensics platform for fjern-endpoints. Værktøjet er kompatibelt med Windows, Linux og Mac OSX. En nybegynders værktøj, men meget nyttigt til at give præcise IoCs.
MIG’s funktioner omfatter – log analyse, hukommelses inspektion, fil- og netværksinspektion, fuld system revision, vulnerability management, og meget mere. Som et open source forensics værktøj, har Mozillas MIG begrænsede kapaciteter siden Mozilla er holdt op med at vedligeholde produktet.
Konklusion
Endpoint Detection and Response er blevet den næste gyldne standard for cybersikkerhed. På trods af den langsomme og noget problematiske vedtagelse har virksomheder og institutioner indset betydningen af denne ekstra sikkerhedspolstring. EDR-værktøjer som dem, der er beskrevet i artiklen er rimelige første skridt i retning af global tech assimilation.