2022年10月7日 星期五

[演講簡報] 採用開源軟體打造企業資安監測系統

 




今年度台灣幾場資安盛會之一 InfoSec Taiwan 臺灣國際資安大會 再次展開,由 TWCSA 台灣數位安全聯盟於台北文創大樓舉辦,在今年度的大會中,我以採用開源軟體打造企業資安監測系統的實際經驗分享。





議程資訊


議程介紹


由開源軟體方案中搭配運用,試圖在沒有經費的情況下以打造出「接近」 EDR、SIEM 效果的資安監測系統,主要採用了 Wazuh、Graylog、LibreNMS 三大開源軟體進行建置。







議程簡報



議程簡報



在瞬息萬變的網路世界中,企業資訊與資安單位如何應對惡意團體的行為已經傷透腦筋。儘管目前已經有許多 EDR 產品可以協助減輕這些風險,但經費仍然是資訊單位最大的瓶頸。



找好方案,但是卻...



儘管面臨經費的問題,但世界上從來不缺少給願意捲起袖子動手一條路的場景;經由開源軟體中的搭配,可以組合出不少功能強大的資安監測系統,協助企業應對風險時能夠具有一定的預警能力。


Wazuh


其中,Wazuh 為我們帶來容易安裝的 Server 與 Agent,以及內建好多種資安框架與規範的資訊看板與報表,讓資訊單位得以省下許多對應合規的時間,它也能夠經由 Agent 取回端點上安裝的軟體,協助比對所使用的軟體具有已知漏洞。

Wazuh 除了監測可能的惡意行為之外,還可以經由手動設定開啟自動攔阻惡意軟體、檔案以及惡意網路行為,由於這個部份牽涉較多設定與調整,可以參考文中的相關連結進行設定。

在較早幾年我使用的是 OSSIM 而非 Wazuh,但這一年來 Wazuh 的進步很多且改版的越來越好用,著眼於更容易調整或整合其它第三方資源來看,我就從 OSSIM 轉而使用 Wazuh。但這並不是說 OSSIM 不好用,OSSIM 仍然是開源軟體中一個非常優秀的資安應用套件,只是我單純以不同面向的需求來調整使用軟體。



Graylog


自前年底開始,收到不少客戶被要求建置 Log Server 的需求詢問,這表示企業內部建置中央收容所有記錄的伺服器已經是普遍的重要資安要求,同時也衍生出需要簡單夠用好用但又不要太貴的方案;在這當中 Graylog 就是一個相當理想的方案。

經由 Graylog 收容後,做好內容的欄位擷取索引,就可以再做點功夫把有用的數據製成資訊看板上各式各樣的區塊,從而協助企業資訊人員快速判斷問題以及可能發生問題的癥狀。

例如多數企業都有使用的 Active Directory,在啟用相關稽核原則後,可以把帳戶登入、檔案存取、執行程序等等行為都記錄下來轉送至 Graylog,再搭配相關的警報規則設定後,即可在最快的時間內讓管理者收到警報,並登入系統查看所發生的事件看板,往下追蹤詳細事件的發生原因。



LibreNMS


它是我一直以來大力推薦給許多朋友使用的好工具,在本次議程中我特別把焦點放在組態備份這件事。經由 LibreNMS 進行組態備份後,可以避免網路裝置 (如 Router、Switch 等) 在更新韌體、歲修完畢後設定值變回 Default 但不知原本設定為何的困境 (我相信許多人應該都有遇過)。

另外,搭配組態備份的版本管理與差異比較功能,還可以協助判斷設定錯誤的組態與上一個正確組態內容的差異,從而協助找出人員設定錯誤之處,才不至於瞎子摸象,找錯方向。

最後提到的 Service (服務) 監測功能,由於擴充彈性極大,所以我將它用來檢查外部 DNS 的重要設定是否正確,包括 MX、SPF、DKIM、DMARC 等與郵件有關的重要記錄,進階一點還可以再多檢查幾筆 A 記錄,除了找出自己人設定錯誤之外,還可以在外部 DNS 被惡意團體進行 DNS 劫持後,儘早發現,避免災情擴大。

更深入一點,服務監測還能夠做到對裝置上指定重要檔案的稽核,例如檢查 Linux 系統的排程與帳戶是否遭到篡改,一旦檢查發現便立即提出告警。


議程完整簡報檔已經上載至 SlideShare,可前往參考資料第一個連結觀看完整內容。





參考資料