Wazuh — швейцарский нож для безопасности

Мы добавили для пользователей Yandex Cloud платформу обнаружения угроз и мониторинга облачных ресурсов, а также быстрой реакции на инциденты — Wazuh.

Установить Wazuh можно из Yandex Cloud Marketplace или нашей библиотеки на github.

Вопрос безопасности ИТ-инфраструктуры одинаково актуален как для локальных, так и для облачных систем. Множество рабочих процессов порождают сотни и тысячи событий безопасности ежеминутно. Часть из них носит информационный характер, а некоторые могут сообщить о серьёзных проблемах в защите. Не каждый системный инженер или специалист по информационной безопасности сможет дать точную оценку — насколько ситуация критична и какие мероприятия следует предпринять прямо сейчас. В то же время бизнесу необходимо иметь полную картину, чтобы прогнозировать риски и устранять слабые места. Важно определить специалистов, которые будут отвечать за возможные нарушения безопасности, взломы системы или утечку данных и обеспечить их надёжными инструментами для выполнения защиты корпоративного периметра.

Кто отвечает за безопасность инфраструктуры в компании

Построение безопасности внутри компании — сложный и долгий процесс, к которому привлечены участники всех сторон и заинтересованные лица:

  • Системные инженеры и администраторы несут ответственность за соблюдение норм и политики безопасности.
  • Пользователи систем должны соблюдать правила безопасности и не подвергать их риску.
  • Сотрудники отдела безопасности разрабатывают и контролируют соблюдение политики и норм безопасности.
  • Бизнес формирует требования к безопасности.

Кто на практике сталкивался с задачей обеспечения безопасности информационных систем знает настолько это долгий и тяжёлый процесс. Сделать его проще и гибче можно с использованием инструментов SIEM и HIDS. Подробнее расскажем про высокоинтеллектуальную HIDS-систему под названием Wazuh и способах её применения в облаке Yandex Cloud.

  • SIEM (Security Information and Event Management) — объединение двух терминов SIM и SEM.

  • SIM (Security Information Management) — управление информацией о безопасности.

  • SEM (Security Event Management) — управление событиями безопасности.

Технология SIEM в реальном времени обеспечивает анализ событий безопасности, исходящих от сетевых устройств и приложений, что позволяет реагировать на них до наступления существенного ущерба.

Хостовая система обнаружения вторжений (HIDS) — это система, которая ведёт наблюдение и анализирует события.

Wazuh — HIDS нового поколения

Wazuh — это современная HIDS-система с открытым исходным кодом, которая включает в себя следующие возможности для обнаружения вторжений и обеспечения безопасности:

Аналитика безопасности

Wazuh предоставляет механизмы для сбора, агрегирования и анализа данных безопасности, тем самым помогая организациям обнаруживать вторжения, угрозы, а также фиксировать аномалии.

Аналитика безопасности

По мере того как киберугрозы становятся всё более изощренными, для быстрого обнаружения и устранения угроз необходимы мониторинг и анализ безопасности в режиме реального времени. Wazuh полностью покрывает потребности любой компании в анализе безопасности.

Система обнаружения вторжений

Агенты Wazuh сканируют отслеживаемые системы в поисках вредоносных программ, руткитов и подозрительных аномалий. Они обнаруживают скрытые файлы, скрытые процессы или незарегистрированные сетевые порты, а также несоответствия в ответах системных вызовов.

В дополнение к возможностям агента, серверный компонент использует сигнатурный подход к обнаружению вторжений, за счет механизма регулярных выражений для анализа собранных данных журнала и поиска индикаторов компрометации.

Подробнее в документации →

Анализатор журналов

Агенты Wazuh читают журналы операционной системы и приложений и безопасно пересылают их центральному менеджеру для анализа и хранения на основе действующего свода правил.

Правила Wazuh предоставляют сведения об ошибках приложений или системы, неправильных конфигурациях, попытках и/или успешных вредоносных действиях, нарушениях политики компании и при других нарушениях мер безопасности.

Анализатор журналов

Файловый мониторинг

Wazuh отслеживает файловую систему, выявляя изменения в содержимом, разрешениях, владельцах и атрибутах файлов, за которыми вам нужно следить. Кроме того, он изначально идентифицирует пользователей и приложения, используемые для создания или изменения файлов.

Возможности мониторинга целостности файлов можно использовать в сочетании с анализом безопасности для выявления угроз или скомпрометированных хостов, чего также требуют некоторые стандарты соответствия нормативным требованиям, такие как PCI DSS.

Файловый мониторинг

Подробнее в документации →

Обнаружение уязвимостей

Агенты Wazuh извлекают данные инвентаризации программного обеспечения и отправляют эту информацию на сервер, где она сопоставляется с постоянно обновляемыми базами данных CVE (Common Vulnerabilities and Exposure) для выявления известных уязвимых программ.

Автоматическая оценка уязвимости поможет вам найти слабые места в ваших критически важных активах и предпринять корректирующие действия до того, как злоумышленники воспользуются ими для саботажа вашего бизнеса или кражи конфиденциальных данных.

Обнаружение уязвимостей

Подробнее в документации →

Оценка конфигурации системы

Wazuh отслеживает параметры конфигурации системы и приложений, чтобы убедиться, что они соответствуют конкретной политике безопасности и стандартам и/или руководствам по усилению защиты. Агенты выполняют периодическое сканирование для обнаружения наиболее уязвимых приложений с небезопасной конфигурацией или отсутствием исправлений.

Кроме того, проверки конфигурации можно настраивать, чтобы правильно согласовать их с вашей организацией. Оповещения включают рекомендации по оптимальной настройке, ссылки на соответствие нормативным требованиям.

Оценка конфигурации системы

Подробнее в документации →

Реакция на инциденты безопасности

При соблюдении определенных критериев Wazuh предоставляет готовые активные ответы для выполнения различных контрмер для устранения активных угроз, таких как блокировка доступа к системе.

Кроме того, Wazuh удалённо запускает команды или системные запросы, выявляет индикаторы компрометации (IOC) и помогает выполнять другие оперативные криминалистические задачи или задачи реагирования на инциденты.

Подробнее в документации →

Соответствие стандартам Compliance

Wazuh предоставляет некоторые из необходимых элементов управления безопасностью, чтобы соответствовать отраслевым стандартам и правилам. Эти функции в сочетании с масштабируемостью и кроссплатформенной поддержкой помогают организациям соответствовать техническим требованиям.

Wazuh широко используется компаниями, занимающимися обработкой платежей, и финансовыми учреждениями для соответствия требованиям PCI DSS (Стандарт безопасности данных индустрии платёжных карт). Его веб-интерфейс предоставляет пользователям отчёты и информационные панели для обработки полученных данных.

Подробнее в документации →

Безопасность и аудит облачных провайдеров

Wazuh помогает отслеживать облачную инфраструктуру на уровне API, используя интеграционные модули, которые способны извлекать данные безопасности из большинства известных облачных провайдеров (Amazon AWS, Azure, Google Cloud или Yandex Cloud в редакции внутреннего сервиса). Wazuh предоставляет правила для оценки конфигурации вашей облачной среды, легко обнаруживая слабые места.

Подробнее в документации →

Аудит и мониторинг контейнеров Kubernetes

Wazuh обеспечивает безопасность ваших хостов и контейнеров Docker, отслеживая их поведение и обнаруживая угрозы, уязвимости и аномалии. Агент Wazuh имеет встроенную интеграцию с механизмом Docker, что позволяет пользователям отслеживать образы, тома, сетевые настройки и запущенные контейнеры.

Wazuh постоянно собирает и анализирует подробную информацию о времени выполнения. Например, оповещение о контейнерах, работающих в привилегированном режиме; уязвимых приложениях; оболочке, работающей в контейнере; изменениях в постоянных томах или образах и других возможных угрозах.

Подробнее в документации →

Архитектура Wazuh

Как развернуть Wazuh в Yandex Cloud

Пользователь может самостоятельно развернуть Wazuh из нашей solution library на Github или установить за несколько минут готовое решение прямо из Yandex Cloud Marketplace.

Установка Wazuh из Github

Для самостоятельной установки Wazuh в Yandex Cloud потребуется настройка интеграции с Yandex Audit Trails. Yandex Audit Trails — сервис сбора и выгрузки аудитных логов из других ресурсов Yandex Cloud из которых Wazuh берёт информацию для организации своей работы.

Схема интеграции Wazuh c Yandex Audit Trails в облаке Yandex Cloud

Порядок интеграции Yandex Сloud с Wazuh:

  • Сначала с помощью packer подготавливается образ Wazuh.
  • Далее с помощью terraform разворачиваются все необходимые компоненты, включая виртуальную машину с образом Wazuh.

Подробнее процесс описан в документации на Github.

Установка Wazuh из Yandex Cloud Marketplace

В Yandex Cloud Marketplace выложено готовое решение, которое удобно для быстрой установки. Оно предоставлено нашим партнёром OpenNix и оплачивается согласно установленному тарифу. Развернуть его можно в несколько кликов из подготовленного образа и сразу начать работу с платформой Wazuh.

Как работает Wazuh в Yandex Cloud

Решение имеет готовые правила для обнаружения изменений и отслеживания событий, происходящих в инфраструктуре Yandex Cloud. Благодаря возможности самостоятельного создания и управления правилами, Wazuh можно гибко настроить под конкретные задачи заказчика.

Настройка правил Wazuh

После развёртывания Wazuh и настройки интеграции, пользователь видит в главном меню платформы иконку Yandex Cloud.

При клике на неё происходит переход в дашборд управления платформой.

Основной дашборд управления событиями

Переход на вкладку Events открывает доступ ко всем происходящим в инфраструктуре событиям безопасности с возможностью реагирования.

Панель просмотра и управления событиями

Пример уведомления о наступлении события безопасности

С помощью документации Wazuh вы можете настроить интеграции с другими сервисами, например получать уведомления в Slack, или проверять данные на наличие вредоносных файлов с помощью базы данных VirusTotal.

Если у вас возникли вопросы по установке Wazuh в облаке Yandex Cloud вы можете обратится в техническую поддержку OpenNix по электронной почте support@opennix.ru или службу технической поддержки Yandex Cloud в личном кабинете.

Ответы на вопросы, связанные с самим продуктом, можно найти на сайте Wazuh в разделе Документация или обратившись в поддержку разработчика.

author
Юрий Медведев
Technical lead, более 12 лет работает с частными и общедоступными облачными средами, инструментами HashiСorp, CI/CD и DevOps.

Напишите нам

Начать пользоваться Yandex Cloud

Тарифы

Узнать цены и рассчитать стоимость

Мероприятия

Календарь событий Yandex Cloud
Wazuh — швейцарский нож для безопасности