ישנן שתי סצנות מוכרות מאד אשר מופיעות כמעט בכל סרט אימה, פעולה או מתח:
הראשונה, הולכת בערך ככה: אחת הדמויות הראשיות, חוזרת לביתה או נכנסת למשרדה בבוקר ומגלה שכל תוכן הארונות נשפך לרצפה, מגירות רוקנו והחדר – בבאלגן שלם. השאלות שעולות הן כמובן, מי היה שם? מתי הוא הגיע ומתי עזב? מה הוא חיפש? האם הוא מצא את מבוקשו? כמה אנשים הם היו? מהיכן הצליחו להיכנס? ועוד…
הסצנה השניה, קשורה לראשונה, הולכת בערך כך: המשטרה/ה-FBI/ה-KGB או אחר, חוקר את השומר בכניסה לבניין בקשר לאירוע הפריצה. החוקר אינו יודע זאת עדיין אבל הצופה, פעמים רבות כבר יודע זאת היטב – השומר הוא משוחד או מפוחד או מאויים על ידי אותם תוקפים… מה שבטוח – את האמת כבר לא תוציאו ממנו.
הסצנות הללו שכיחות מאד גם בעולם הסייבר או אבטחת המידע:
כאשר צנטריפוגות להעשרת אורניום בארגון כזה או אחר, מתחילות לרקוד הורה בשני מעגלים, השאלות של מי גרם לזה, מתי וכיצד, עולות בוודאי והנסיון לתחקר את השומר בכניסה – קרי, את ציודי האבטחה: Firewalls וכו' לא תמיד יכול להניב את האמת הרצוייה.
כאן בדיוק נכנסת Security Onion לתמונה וכמו מצלמת אבטחה משוכללת, שופכת אור על ה-Blind spots הללו ומאפשרת לראות מה קרה לפני, תוך כדי ואחרי הפריצה ובשילוב עם מנגנונים נוספים (ולפעמים גם בלעדיהם) מסוגלת לזהות את אירוע הפריצה בדייקנות רבה לפעמים עוד טרם נגרם נזק ממשי.
Security Onion היא הפצת לינוקס מסוג Ubuntu הכוללת אסופה של כלי קוד פתוח שהולחמו יחד על ידי בחור כשרוני בשם Doug Burks וכוללת למעלה מ-30 כלים מבוססי קוד פתוח שונים לאיסוף, ניתוח והתראה על אירועי אבטחת מידע שונים.
לכאורה, קיימות חלופות טובות ל-Security Onion כדוגמת Ossim AlienVault או Cisco SourceFire, אך חלופות אלו, מעבר להיותן יקרות להחריד, הן גם הרבה פחות גמישות בהשוואה לכלי קוד פתוח כפי שאנסה להראות מיד.
לפני שאתחיל להסביר על הכלים מהם מורכבת SecurityOnion כדאי שאזכיר גם ש-Security Onion מסוגלת לעבוד גם באופן מבוזר (Sensor/Server) ובכך היא מאפשרת סקלאביליות טובה מאד ומתמודדת היטב עם העומסים הכרוכים בטיפול במידע מורכב שכזה.
לגבי הכלים – בין השאר, Security Onion כוללת את:
NetSniff – המאפשרת ל-Security Onion לאסוף את המידע מהרשת ומתמודדת עם הקצב הגבוה של קליטת הנתונים.
Snort/Suricata – המבצעת ניתוח מבוסס חתימות על המידע שנאסף. קהילת הקוד הפתוח מייצרת חתימות כל הזמן ובנוסף, ישנן גם חתימות המיוצרות ומעודכנות על ידי חברות מסחריות כדוגמת SourceFire של סיסקו. בנוסף, קל למדי להרכיב חתימות מותאמות אישית רק למקרה וצריך לזהות משהו ייחודי יותר.
Bro-IDS – ברו הוא בבסיסו מנוע לזיהוי חתימות והתנהגויות ברשת על בסיס המידע המוזרם אליו בזמן אמת אבל יותר מזה הוא בעצם פלטפורמה שאליה ניתן לכתוב סקריפטים בשפה ייחודית של ברו ובעצם לזהות באמצעותו התנהגויות נוספות, פרוטוקולים נוספים וכו'. ברו גם מסוגל לנתח פרוטוקולים רבים ולתעד את פעילותם, לייצא קבצים שהועברו ברשת לקבצים ועוד ועוד.
ChaosReader – כלי המאפשר לאסוף מידע אפליקטיבי מתוך קבצי ה-pcacp ממגוון רחב של פרוטוקולים כדוגמת TCP, UDP, IPv4, IPv6, ICMP, telnet, FTP, HTTP, SMTP, IRC, X11 ו-VNC.
LabRea – סוג של honeypot מהסוג היותר אכזרי… כלי זה מסוגל, קונפיגורטיבית, להקים באופן אוטומטי שרתים וירטואליים בכתובות שאינן בשימוש באופן כזה שאותם שרתים יהיו "מפתים" עבור פוגענים ונוזקות שונות וכאשר אותם פוגענים ינסו לפנות לאותם שרתים וירטואליים LabRea תגיב להם באופן שעשוי לגרום להם "להיתקע" או לחדול להגיב למשך פרקי זמן ארוכים במיוחד ובכך מספקת סוג של הגנה אקטיבית.
hunt – כלי Sniffer מתקדם המסוגל להתערב בשיחה שהקשיב לה ולרסט את החיבור.
driftnet – כלי המסוגל לייצא תמונות המועברות בתקשורת או מקובץ pcap.
tcpxtract – כלי המאפשר ייצוא של קבצים מתוך תעבורת הרשת. ניתן להשתמש בו (או במודול דומה של Bro-IDS) על מנת לייצא את הקבצים המועברים ברשת, לסווג אותם לפי כותרתם, לסרוק אותם באמצעות כלים כמו VirusTotal או Cuckoo Sandbox ובאמצעותם לזהות קבצים חשודים שהועברו ברשת. לגישה זו קיים ייתרון מובנה בכך שהליך בדיקת הקבצים מבוצע Offline – שכן, היות והבדיקה אינה מעכבת את הקובץ מלהגיע ליעדו, היא אינה מוגבלת בזמן בדיקה קצר כל כך ולכן מסוגלת להריץ את הקובץ למשך זמן ארוך יחסית ובכך לעלות על מתקפות שמנסות למשוך זמן על ידי ביצוע פעולות סתמיות כלשהן בתחילת פעולתן על מנת לבלבל מנגוני Sandbox.
p0f – כלי המאפשר זיהוי פסיבי של הציודים המשתתפים בתקשורת על בסיס המידע העובר בתקשורת. לעיתים תספיק לו אפילו חבילה אחת של SYN בלבד כדי לזהות את הציוד שעומד מאחוריה. את מערכת ההפעלה שלו ומידע לגבי ה-Service Pack והגרסה שלו.
OSSEC – כלי זה משמש כ-HIDS עבור שרת ה-Security Onion עצמו אבל כמובן ניתן להתקין Agents של OSSEC על שרתים נוספים כדי שידווחו ל-Security Onion על נסיונות חדירה.
Squert/Sguil – כלי "שולחן חקירה" לאנליסט המרכז התראות ואירועים ממגוון הכלים בחבילת ה-Security Onion ומאפשר ניתוח של אירועים שקרו, סיווגם לפי חומרה, הקצאה לאנליסטים אחרים, drill-down עד לרמת הפאקטים ו/או הצלבה עם אירועים אחרים שקרו בפרק זמן מוגדר. Squert הוא כלי מבוסס PHP המאפשר יכולות דומות בדפדפן.
ELSA – כלי אינדוקס, חיפוש וניתוח של לוגים מבוססי Syslog. האינדוקס מבוצע על כלי ה-Sphinx המפורסם. Doug Burks השתמש בכלי זה (ולמיטב זכרוני גם כתב את הגרסה הראשונה שלו) לצורך אינדוקס וניתוח הלוגים מכל הכלים בחבילת Security Onion.
Network Miner – כלי חלונאי שניתן להשתמש בו לצורך כריית נתונים ממידע של פאקטות המועברות ברשת בזמן אמת או מקבצי pcap לניתוח Offline. כלי זה מסוגל לכרות מתוך המידע התקשורתי סיסמאות, כתובות, תמונות, קבצים, מיילים, סרטונים ועוד.
Xplico – כלי זה מהווה שולחן חקירה (מבוסס Web) לאירועים ספציפיים. כלומר, ניתן להעלות אליו דגימות רלוונטיות של מידעים והוא מאפשר לאנליסט לבנות תיק אירוע הכולל את כל הממצאים שנאספו, לכרות מידע הכולל תמונות, קבצים, סרטונים, כתובות URL, מיילים, שיחות VOIP ועוד מתוך קבצי pcap גולמיים.
HoneyD – כלי זה מאפשר הקמתם של מחשבים וירטואליים שיהיו אטרקטיביים ברמות שונות לתוקפים פוטנציאליים ובכך לאפשר זיהוי טוב של תוקפים ברשתות השונות של הארגון.
בשל היותה של Security Onion מערכת מבוססת קוד פתוח אשר נתמכת על ידי קהילה ענפה ומפותחת, קיימים אינספור מאמרים ברשת המסבירים כיצד ניתן לחבר לאסופת כלים זו כלים נוספים, למשל שימוש ב-Cuckoo Sandbox על מנת להריץ ולבדוק קבצים שהועברו ברשת או שימוש ב-VirusTotal על מנת לסרוק קבצים כאלו או חיבור הפלטים של Security Onion ל-Elasticsearch על מנת לאפשר חיפוש נוח ולהצליב מידע ממקורות נוספים.
בהצלחה.