几款开源NTA/IPS/NDR工具的简单比较

笔者目前所在的公司,办公网用户端有安装桌管软件,IDC服务器有部署某安全初创公司的EDR产品,综合来看在终端这层做得还算到位,能满足目前业务体量下的安全需求。但是在网络这层,却一直是有缺失的。除了SNMP监控,就几乎没有其他的网络监控工具了。以往出现突发事件,还需要在入口处部署一台机器临时抓包。效率低不说,问题回溯能力几乎没有。

先前部署了一套NetFlow流量分析系统后,算是对内网可视化有从0到1的改变,并发现和定位了几起流量异常和员工异常行为。但既然NetFlow都收集了,总忍不住想看一看更底层的数据包,是否能捕获更多的异常事件。于是就收集了一下这几年出现的一些开源的网络流量分析工具,看看有没有能满足基本需求的:

SIEMonster和SecurityOnion这两款,同互联网界的元老级开源SIEM项目OSSIM类似,既做Network IDS又做Host IDS,是大而全的项目,且SIEMonster企业版还支持Human Based Behaviour和Machine Learning。但以笔者经验,小众开源项目走大而全的路子,能出彩的可能性不高(要么就是免费有阉割)。另外系统大了部署和配置就会比较“重”,所以这两款就先观望。

RockNSM项目比较新,据说还拿到了2018年的美国政府创新奖。就是试用下来bug还是不少(100Mbps左右的流量就出现了性能问题、Suricata的数据出不来)。UI也是基于Kibana的简单定制,乍看酷炫,就是比较难抓到重点:

SELKS的完成度就比较高了,部署快,UI除了标准的Kibana还有自己定制的报表和性能看板。新的5.0更集成了全流量抓包工具Moloch。整合的工具不多,但是选取视角和质量都不错。

最终,我们就留用了SELKS作为现阶段临时的网络流量分析工具。剩下的工作就是对Suricata规则的熟悉和理解,争取可以编写自己的规则。

顺便记录一下两个bug:

  1. Rulesets sources里有几个源在github上,需要有梯子才能正常更新
  2. 5.0版本集成的Moloch,一些组件的路径要修改下。否则服务无法启动

当然使用免费开源的IDS工具是不得已的办法,大环境不好,今年IT的预算一定是缩减的。不过另一方面,企业在安全这项的支出上一定要意识到安全专家的人力成本才是最高的,IDS这种产品容易生成海量的告警,总得有人看,对吧?

 3,566 total views,  6 views today

系统漏洞扫描自动化平台实现可能性的简单评估

经过评估,当时选出的候选工具如下。后面就看如何整合了:

工具类型地址说明
巡风基于网络https://github.com/ysrc/xunfeng指定高危漏洞的快速扫描
OpenVAS基于网络http://www.openvas.org/SCAP: NVT, CVE, CPE, OAVL
CERT: CERT-Bund, DFN-CERT
Lynis基于主机https://cisofy.com/lynis/本机加固辅助工具,集中化展示需Lynis Enterprise企业版

需求:

  • 资产(IP)自动发现
  • 漏洞扫描

工具评估:

https://www.ocsinventory-ng.org (with GLPI or FusionInventory)

http://www.open-audit.org/

评估结果:仅资产管理功能

Microsoft Assessment and Planning Toolkit (软件资产管理)

评估结果:仅资产管理功能,可生成完整软件安装列表

SeMF:https://gitee.com/gy071089/SecurityManageFramwork 

评估结果:抓取信息维度不够(仅IP)、扫描器暂时只支持Nessus 6已停售,新项目

巡风:https://github.com/ysrc/xunfeng

评估结果:资产发现+漏洞扫描(自定义插件)。捕获信息全

注:Zabbix Agent侦听端口10050需添加例外或在iptables中禁止 

iptables -A OUTPUT -p tcp –dport 10050 -j DROP
iptables -A OUTPUT -p tcp –dport 10051 -j DROP

OpenVAS: http://www.openvas.org/ 

评估结果:中危以下漏洞较多,建议闭源的Nessus或其他商业扫描器

Vuls: https://github.com/future-architect/vuls 

评估结果:检出率一般

Lynis: https://cisofy.com/lynis/ 

评估结果:本机加固辅助工具,扫描结果集中化展示需Lynis Enterprise企业版

 831 total views,  5 views today