SECMON – Korelátor bezpečnostných udalostí

188

V dnešnej dobe komplexných sieťových riešení a nastupujúceho Internetu vecí je dôležitá nielen aktívna ochrana bezpečnostnými uzlami v sieti, ale predovšetkým zber údajov a ich včasné efektívne vyhodnocovanie a následná exekúcia potrebných bezpečnostných opatrení.

Tieto požiadavky sú zabezpečované SIEM (Security Information and Event Managment) nástrojmi, ktoré ale často vyžadujú odbornú znalosť a drahé licencie na ich prevádzku. Preto sme sa v rámci nášho projektu rozhodli vytvoriť voľné šíriteľný nástroj na zber a koreláciu logov z rôznych sieťových zariadení.

O čom je náš projekt?

SecMon je open-source nástroj na monitorovanie a koreláciu bezpečnostných udalostí s podporou manažmentu pre domáce aj firemné siete. Náš projekt ponúka konfigurovateľné a škálovateľné riešenie vyššej vrstvy detekcie sieťových a aplikačných útokov pomocou jednoducho rozšíriteľného korelátora logov zozbieraných z niekoľkých zariadení.

Jadrom nášho systému je nástroj SEC, ktorý dokáže prúdovo spracúvať záznamy zo zariadení a priamo hľadať medzi nimi súvislosti v medziach sieťovej bezpečnosti. Avšak SEC je realizovaný iba v príkazovom riadku a preto bolo vhodné postaviť prehľadnú, konfigurovateľnú a škálovateľnú webovú aplikáciu, ktorá bude slúžiť nielen skúseným bezpečnostným inžinierom, ale aj bežným používateľom, ktorí chcú vo svojej domácnosti prevádzkovať hĺbkovú ochranu a monitorovanie svojich informačných technológií.

Architektúra nášho systému je postavená na Apache Web serveri, na ktorom beží PHP aplikácia, ktorá riadi činnosť nástroja SEC. Databáza PostgreSQL služi na ukladanie korelovaných udalostí, ale aj nekorelovaných logov, ktoré je možné spätne naviazať na jednotlivé skorelované bezpečnostné udalosti. Tento prístup poskytuje bližší náhľad do príčin vzniku danej kritickej udalosti a možnosť hĺbkovej analýzy problému.

Aplikácia ponúka správu používateľov, ktorých je možné rozdeliť do viacerých podskupín na základe ich práv. Vďaka tomu je SecMon univerzálnym nástrojom, ktorý je možné použiť s preddefinovanými pravidlami detekcie a upoznorňovania na bezpečnostné udalosti. Tento prístup ocenia predovšetkým menej skúsení používatelia, ktorí napriek tomu chcú pridať ďalšiu vrstvu zabezpečenia ich infraštruktúry. Na druhej strane, skúsení bezpečnostní inžinieri majú plnú kontrolu nad pravidlami, ktoré môžu prídávať, upravovať a nasadzovať na mieru tej danej sieti, v ktorej operujú.

V skratke, SecMon je plne konfigurovateľné a škálovatelné riešenie pre všetky typy sieťových prevádzok, ktoré slúži na včasné detegovanie a prípradné zabránenie vzniku kritických následkov po bezpečnostnej udalosti na sieti používateľa. Nástroj taktiež postkytuje pohľad do aktivity na sieti a štatistík prevádzky. V budúcnosti je možné tento nástroj rozšíriť o detekciu anomálií v sieti.

O nás

SecMon je výsledkom tímovej spolupráce Norberta Danišika, Mateja Guráňa, Matúša Juriku, Štefana Kadlica, Rolanda Langa, Milana Poliaka a Mateja Puka pod odborným vedením Ing. Jána Laštinca, PhD., ktorý nás uviedol hlbšie do problematiky bezpečnostných nástrojov. Taktiež nám poskytol cenné rady a skúsenosti aj v rámci stretnutia s ním a jeho kolegami z tímu CSIRT.SK.

 

Dobrý článok? Chceš dostávať ďalšie?

Už viac ako 4 200 z vás dostáva správy e-mailom. Nemusíš sa báť, nie každé ráno. Len občasne.

Tvoj email neposkytneme 3tím stranám. Posielame naňho len informácie z robime.it. Kedykoľvek sa môžete odhlásiť.