Çok sayıda güvenlik girişimi, şirketlerin özel yazılımlara olan bağımlılıklarını azaltmalarına ve BT izleme ve güvenlik aracını ihtiyaçlarına göre özelleştirmelerine olanak sağlamanın bir yolu olarak, açık kaynak güvenlik aracısı koleksiyonu etrafında ekosistemler inşa ediyor.
17 Ekim’de uç nokta yönetim firması Fleet, hafif osquery aracısını yönetilen ana bilgisayarlar üzerinde komut dosyaları yürütme yeteneğiyle güncelleyerek aracıların yalnızca sistemleri izlemesine değil, aynı zamanda onları yönetmesine ve olaylara yanıt vermesine de olanak tanıdı. Kuruluşlar, antivirüs, güvenlik duvarları, günlük kaydı, veri güvenliği ve konfigürasyonu yönetmek için ayrı aracıların olduğu ve birkaçını saymak gerekirse artık ortak olan aracıların zaman içinde çoğaldığını gördü.
Fleet’in kurucu ortağı ve CEO’su Mike McNeil, bunun sonucunda karmaşıklığın BT yönetimi ve güvenlik operasyonlarına sızması olduğunu söylüyor.
“Bir yanda bu devasa yekpare şeyleri satın alan insanlar var, diğer yanda ise bir sürü açık kaynak aracı bir araya getiren insanlar var ve sonunda bu mimari diyagramları elde ediyorsunuz. bu büyük, açıkçası büyük bir karmaşa” diyor. “İnsanların her şey için tutarlı bir arayüz, biraz daha modüler bir şey aradığını düşünüyorum.”
Wazuh’un kurucusu ve CEO’su Santiago Bassett, birçok şirketin evrensel uç nokta aracısı olarak osquery’yi kullanarak karmaşıklığın sürünmesine karşı mücadele ettiğini söylüyor. Facebook, osquery’yi ilk olarak dahili kullanım için geliştirdi ve ardından 2014’te açık kaynak haline getirdi. Osquery aracısı, işletim sisteminin durumunu izler, bunu bir SQL veritabanına kaydeder ve yöneticilerin, günlük analizi gibi sistem hakkında bilgi almak için aracıyı sorgulamasına olanak tanır. , uyumluluk durumu, konfigürasyon yönetimi ve güvenlik kontrollerinin sonuçları.
“Kullanıcıların çok özel amaçlara sahip farklı aracıları bir araya getirdiği trend budur ve artık [fewer] daha kapsamlı, daha yatay ve daha fazla yetenek sunan aracılar” diyor. “Daha fazla girişimin olması beni şaşırtmaz; herkesin kullandığı bu özel yetenek aslında aynı kaynak koduna dayanır; açık kaynak, öyleyse hepimiz aynısını kullanma konusunda hemfikir olalım [agent]”
Osquery, Evrensel Uç Nokta Aracısı mı?
Osquery’yi evrensel bir uç nokta izleme aracısı olarak kullanma fikri, en azından açık kaynak aracının kendisi kadar eskidir. SysDig ve OSSec gibi diğer açık kaynaklı araçların işlevleri osquery ile bazı örtüşmelere sahiptir ancak odak noktaları farklıdır. SysDig, çekirdeğin düşük seviyeli enstrümantasyonuna izin verir, bu da onu buluttaki kapsayıcıya alınmış uygulamaları izlemenin popüler bir yolu haline getirir; OSSec ise ana bilgisayar tabanlı izinsiz giriş tespitine (HID) ve Linux ve Windows sistemlerindeki uyumluluğa odaklanır.
Çeşitli şirketler teknolojilerini Windows, MacOS ve Linux sistemlerinde çalışan osquery’ye dayandırdı. Fleet’e ek olarak, açık güvenlik platformu Wazuh, sıfır güven çözüm sağlayıcısı Kolide, açık kaynak Apple cihaz yöneticisi Zentral ve bulut ve uç nokta yönetimi firması Uptycs’in tümü osquery kullanıyor veya aracıyı halihazırda çalıştıran sistemlerle entegre oluyor.
Güvenlik ve BT yönetimi tedarikçileri tekliflerini farklılaştırdı ancak bu farklılığın büyük bir kısmı, osquery tarafından sağlanan bilgilerin nasıl işlevsel hale getirileceği ile başarılabilir. Wazuh’dan Santiago, uç noktayı enstrümantasyonlamanın temel işlevinin farklılaşma noktası olmaması gerektiğini söylüyor.
“Tedarikçiler her zaman ‘Ah, buraya değer katıyoruz, şurada değerimiz var’ diyen diğer satıcılardan farklılaşmaya ilgi duyacaklardır, ancak sektörde halihazırda çözülmüş olan ve hepimizin yaptığı şeyler var ,” diyor. “Bir Windows sisteminden günlükleri toplama yöntemime değer katmanın gerçekten bir yolu yok; yalnızca bu günlükleri okudum.”
Pasif İzlemeden Aktif Müdahaleye
Ancak şirketler yalnızca görünürlük ve izleme istemiyor; bu nedenle Fleet, osquery aracısını kullanarak komut dosyalarını yürütme yeteneğini ekledi. Diğer sağlayıcıların da sahip olduğu yeteneklerin kullanılması, aracının uç noktaları yönetmek için de bir araca dönüştürülmesine yardımcı olur. Fleet’ten McNeil, şirketlerin artık sistemleri daha güvenli hale getirmek ve saldırı yüzey alanlarını azaltmak için uzaktaki cihazlara yama gönderebileceğini ve USB bağlantı noktaları gibi belirli özellikleri kapatabileceğini söylüyor.
Amaç, uç nokta tespiti ve yanıtının yerini almak değil, şirketlere daha fazla görünürlük sağlama ve tuhaf bir şey tespit ettiklerinde bu konuda bir şeyler yapma yeteneği kazandırmak olduğunu söylüyor.
“Kendi kendini iyileştirme fikri – Yara ile kötü amaçlı yazılımları tespit edebilmek ve otomatik olarak onu kaldırmak veya bilgisayarı ağ üzerinde izole etmek için bir komut dosyası çalıştırabilmeniz – artık tüm bu araçlara sahip olabilirsiniz ve bunları istediğiniz şekilde kendiniz oluşturabilirsiniz ,” diyor. “Yani bunu ne kadar basitleştirebilir ve açabilirsek o kadar iyi.”