Добро пожаловать обратно, начинающие кибервоины!
В постоянно меняющемся мире кибербезопасности постоянно появляются новые инструменты и подходы для борьбы с растущей сложностью киберугроз. Одним из таких инновационных решений является CrowdSec — бесплатный инструмент автоматизации безопасности с открытым исходным кодом, использующий возможности краудсорсинга для обнаружения и предотвращения кибератак. В этой статье рассматривается история развития аналитики угроз и рассматривается, как CrowdSec решает современные проблемы кибербезопасности. В статье также приводятся руководство по установке и настройке, а также анализ преимуществ и потенциальных недостатков инструмента.
Аналитика угроз значительно продвинулась с момента зарождения кибербезопасности. Раньше организации в основном полагались на методы обнаружения на основе сигнатур, которые включали выявление известных вредоносных шаблонов в сетевом трафике или поведении системы. Несмотря на эффективность против известных угроз, этот подход не успевал за быстрым развитием кибератак.
По мере того, как киберугрозы становились всё более изощрёнными, специалисты по кибербезопасности осознали необходимость более проактивных и адаптивных подходов. Это понимание привело к развитию поведенческого анализа, обнаружения на основе машинного обучения и, в конечном итоге, платформ совместной аналитики угроз.
Идея обмена информацией об угрозах между организациями начала набирать популярность в начале 2000-х годов. Центры обмена и анализа информации (ISAC) были созданы для обмена данными об угрозах в рамках отдельных отраслей. Однако на ранних этапах эти усилия часто сталкивались с трудностями, связанными со стандартизацией данных и обменом данными в режиме реального времени.
Развитие облачных вычислений и аналитики больших данных ознаменовало новую эру в анализе угроз. Появились платформы, способные собирать, анализировать и обмениваться большими объёмами данных об угрозах в режиме реального времени, что позволило организациям опережать развитие угроз.
CrowdSec — это инструмент безопасности, разработанный для защиты серверов и приложений от кибератак. Он анализирует журналы ваших систем, выявляя подозрительную активность, например попытки подбора паролей, и принимает меры для блокировки или предотвращения этих угроз.
Уникальность CrowdSec заключается в его «коллективном» подходе. Обнаружив потенциальную угрозу в одной системе, CrowdSec делится этой информацией с глобальным сообществом пользователей. Таким образом, все пользователи CrowdSec получают доступ к коллективным знаниям о кибератаках, происходящих по всему миру, что повышает эффективность обнаружения и предотвращения угроз.
CrowdSec анализирует логи для выявления признаков атаки. При распознавании шаблона атаки система выдаёт оповещение и при необходимости устраняет атаку локально. При обнаружении атаки пользователи могут поделиться информацией с сообществом. В свою очередь, пользователи получают доступ к информации, которой делятся другие участники сообщества, что обеспечивает более надёжную защиту, поскольку злоумышленники блокируются ещё до совершения атак.
CrowdSec предназначен для обнаружения и нейтрализации различных киберугроз и атак. На изображении выше показаны некоторые распространённые типы атак, которые CrowdSec может помочь обнаружить.
Проблемы, которые решает CrowdSec
CrowdSec решает эти проблемы, создавая сеть безопасности, управляемую сообществом. При обнаружении угрозы CrowdSec блокирует вредоносный IP-адрес локально и делится этой информацией со всем сообществом CrowdSec.
Для начала нам нужно установить Security Engine из репозиториев CrowdSec, который обеспечивает доступ к последним пакетам CrowdSec и его баунсерам. Это можно сделать с помощью следующей команды:
Кали> Curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | судо баш
Но в Kali Linux вы увидите следующую ошибку:
Поэтому для удобства тестирования я буду использовать сервер Ubuntu в AWS.
Далее нам необходимо установить CrowdSec с помощью следующей команды:
сервер> sudo apt install crowdsec
В CrowdSec коллекции представляют собой пакеты или наборы предварительно настроенных правил безопасности, парсеров и сценариев, адаптированных для конкретных случаев использования или сред. Эти коллекции упрощают процесс настройки, предлагая тщательно подобранное сочетание ресурсов, отвечающих конкретным потребностям. Примерами служат конфигурации для SSH, Nginx и различных других приложений и сервисов.
Поскольку у меня установлены Apache и SSH, CrowdSec автоматически устанавливает соответствующие коллекции. Чтобы просмотреть список доступных коллекций, выполните следующую команду:
сервер> список хабов sudo cscli
Security Engine сам по себе является средством обнаружения и ничего не блокирует. Поэтому нам необходимо установить компоненты исправления («баунсеры») для обеспечения выполнения решений.
В этом примере давайте установим crowdsec-firewall-bouncer:
kali> sudo apt install crowdsec-firewall-bouncer crowdsec-firewall-bouncer-nftables
Установка готова, теперь можно проверить эффективность.
Прежде чем начать, давайте посмотрим текущий список решений на сервере CrowdSec:
kali> sudo cscli список решений
После этого я попытаюсь зайти на сервер по SSH, используя неверный пароль. Повторив это несколько раз, я оказался забанен.
Если вы хотите, вы можете снова разблокировать IP с помощью команды cscli solutions delete, после чего вы сможете войти в систему.
сервер> sudo cscli решения удалить -i <ip>
Вы можете просмотреть эту информацию через веб-интерфейс. Для этого необходимо зарегистрироваться на сайте app.crowdsec.net . На странице «Security Engine» вы найдете возможность зарегистрировать свой движок, чтобы он был доступен на панели управления.
сервер> sudo cscli console enroll -e context <id>
Скопируйте и вставьте данные на свой сервер CrowdSec. После этого на панели управления появится запрос на принятие или отклонение запроса.
После регистрации вам необходимо перезапустить CrowdSec, чтобы движок начал отправлять отчеты на панель управления.
Как и любое решение по безопасности, CrowdSec имеет свой набор преимуществ и потенциальных ограничений.
Поскольку киберугрозы продолжают становиться все сложнее и масштабнее, такие решения, как CrowdSec, которые используют коллективный разум и способствуют сотрудничеству в сообществе безопасности, вероятно, будут играть все более важную роль в наших стратегиях цифровой защиты.
В постоянно меняющемся мире кибербезопасности постоянно появляются новые инструменты и подходы для борьбы с растущей сложностью киберугроз. Одним из таких инновационных решений является CrowdSec — бесплатный инструмент автоматизации безопасности с открытым исходным кодом, использующий возможности краудсорсинга для обнаружения и предотвращения кибератак. В этой статье рассматривается история развития аналитики угроз и рассматривается, как CrowdSec решает современные проблемы кибербезопасности. В статье также приводятся руководство по установке и настройке, а также анализ преимуществ и потенциальных недостатков инструмента.
Эволюция анализа угроз
Аналитика угроз значительно продвинулась с момента зарождения кибербезопасности. Раньше организации в основном полагались на методы обнаружения на основе сигнатур, которые включали выявление известных вредоносных шаблонов в сетевом трафике или поведении системы. Несмотря на эффективность против известных угроз, этот подход не успевал за быстрым развитием кибератак.
По мере того, как киберугрозы становились всё более изощрёнными, специалисты по кибербезопасности осознали необходимость более проактивных и адаптивных подходов. Это понимание привело к развитию поведенческого анализа, обнаружения на основе машинного обучения и, в конечном итоге, платформ совместной аналитики угроз.
Идея обмена информацией об угрозах между организациями начала набирать популярность в начале 2000-х годов. Центры обмена и анализа информации (ISAC) были созданы для обмена данными об угрозах в рамках отдельных отраслей. Однако на ранних этапах эти усилия часто сталкивались с трудностями, связанными со стандартизацией данных и обменом данными в режиме реального времени.
Развитие облачных вычислений и аналитики больших данных ознаменовало новую эру в анализе угроз. Появились платформы, способные собирать, анализировать и обмениваться большими объёмами данных об угрозах в режиме реального времени, что позволило организациям опережать развитие угроз.
Что такое CrowdSec
CrowdSec — это инструмент безопасности, разработанный для защиты серверов и приложений от кибератак. Он анализирует журналы ваших систем, выявляя подозрительную активность, например попытки подбора паролей, и принимает меры для блокировки или предотвращения этих угроз.
Уникальность CrowdSec заключается в его «коллективном» подходе. Обнаружив потенциальную угрозу в одной системе, CrowdSec делится этой информацией с глобальным сообществом пользователей. Таким образом, все пользователи CrowdSec получают доступ к коллективным знаниям о кибератаках, происходящих по всему миру, что повышает эффективность обнаружения и предотвращения угроз.
Как это работает?
CrowdSec анализирует логи для выявления признаков атаки. При распознавании шаблона атаки система выдаёт оповещение и при необходимости устраняет атаку локально. При обнаружении атаки пользователи могут поделиться информацией с сообществом. В свою очередь, пользователи получают доступ к информации, которой делятся другие участники сообщества, что обеспечивает более надёжную защиту, поскольку злоумышленники блокируются ещё до совершения атак.
Примеры обнаруженного поведения
CrowdSec предназначен для обнаружения и нейтрализации различных киберугроз и атак. На изображении выше показаны некоторые распространённые типы атак, которые CrowdSec может помочь обнаружить.
Проблемы, которые решает CrowdSec
- Информационные хранилища : традиционные методы обеспечения безопасности часто позволяют сохранить ценную информацию об угрозах в тайне внутри отдельных организаций.
- Ограниченность ресурсов : предприятиям малого и среднего бизнеса часто не хватает ресурсов для комплексных решений по безопасности или специальных групп безопасности.
- Реактивная безопасность : многие инструменты безопасности сосредоточены на реагировании на известные угрозы, а не на проактивном поиске новых.
- Ложные срабатывания : Чувствительные системы безопасности могут выдавать множество ложных сигналов тревоги, что приводит к усталости от тревог и риску пропуска реальных угроз.
CrowdSec решает эти проблемы, создавая сеть безопасности, управляемую сообществом. При обнаружении угрозы CrowdSec блокирует вредоносный IP-адрес локально и делится этой информацией со всем сообществом CrowdSec.
Установка
Для начала нам нужно установить Security Engine из репозиториев CrowdSec, который обеспечивает доступ к последним пакетам CrowdSec и его баунсерам. Это можно сделать с помощью следующей команды:
Кали> Curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | судо баш
Но в Kali Linux вы увидите следующую ошибку:
Поэтому для удобства тестирования я буду использовать сервер Ubuntu в AWS.
Далее нам необходимо установить CrowdSec с помощью следующей команды:
сервер> sudo apt install crowdsec
Коллекции CrowdSec
В CrowdSec коллекции представляют собой пакеты или наборы предварительно настроенных правил безопасности, парсеров и сценариев, адаптированных для конкретных случаев использования или сред. Эти коллекции упрощают процесс настройки, предлагая тщательно подобранное сочетание ресурсов, отвечающих конкретным потребностям. Примерами служат конфигурации для SSH, Nginx и различных других приложений и сервисов.
Поскольку у меня установлены Apache и SSH, CrowdSec автоматически устанавливает соответствующие коллекции. Чтобы просмотреть список доступных коллекций, выполните следующую команду:
сервер> список хабов sudo cscli
Компоненты для восстановления
Security Engine сам по себе является средством обнаружения и ничего не блокирует. Поэтому нам необходимо установить компоненты исправления («баунсеры») для обеспечения выполнения решений.
В этом примере давайте установим crowdsec-firewall-bouncer:
kali> sudo apt install crowdsec-firewall-bouncer crowdsec-firewall-bouncer-nftables
Установка готова, теперь можно проверить эффективность.
Моделирование атаки методом перебора
Прежде чем начать, давайте посмотрим текущий список решений на сервере CrowdSec:
kali> sudo cscli список решений
После этого я попытаюсь зайти на сервер по SSH, используя неверный пароль. Повторив это несколько раз, я оказался забанен.
Если вы хотите, вы можете снова разблокировать IP с помощью команды cscli solutions delete, после чего вы сможете войти в систему.
сервер> sudo cscli решения удалить -i <ip>
Панель инструментов
Вы можете просмотреть эту информацию через веб-интерфейс. Для этого необходимо зарегистрироваться на сайте app.crowdsec.net . На странице «Security Engine» вы найдете возможность зарегистрировать свой движок, чтобы он был доступен на панели управления.
сервер> sudo cscli console enroll -e context <id>
Скопируйте и вставьте данные на свой сервер CrowdSec. После этого на панели управления появится запрос на принятие или отклонение запроса.
После регистрации вам необходимо перезапустить CrowdSec, чтобы движок начал отправлять отчеты на панель управления.
Преимущества и недостатки CrowdSec
Как и любое решение по безопасности, CrowdSec имеет свой набор преимуществ и потенциальных ограничений.
- Используя коллективные знания своей пользовательской базы, CrowdSec может быстро выявлять новые угрозы и реагировать на них, зачастую быстрее, чем традиционные централизованные платформы анализа угроз.
- CrowdSec — это решение с открытым исходным кодом, которое можно использовать бесплатно, что делает его доступным для организаций любого размера, включая малый бизнес, у которого может не быть бюджета на решения по обеспечению безопасности предприятия.
- Подход, основанный на привлечении большого количества пользователей, помогает сократить количество ложных срабатываний, поскольку угрозы проверяются в нескольких экземплярах, прежде чем будут помечены.
- Вместо того чтобы полагаться исключительно на известные сигнатуры угроз, CrowdSec может обнаруживать и реагировать на новые шаблоны атак на основе анализа поведения.
- Эффективность CrowdSec во многом зависит от активного участия сообщества. В нишевых средах или на ранних этапах внедрения это может потенциально ограничить эффективность.
- В некоторых организациях могут возникнуть сомнения относительно обмена событиями безопасности, даже анонимно, из-за нормативных или внутренних политических ограничений.
- В настоящее время CrowdSec в первую очередь фокусируется на устранении угроз на основе IP-адресов, чего может быть недостаточно для всех типов сложных атак.
- Для обмена информацией об угрозах в режиме реального времени с помощью CrowdSec требуется постоянное подключение к Интернету, что может быть нецелесообразно в изолированных или сильно ограниченных сетевых средах.
Краткое содержание
Поскольку киберугрозы продолжают становиться все сложнее и масштабнее, такие решения, как CrowdSec, которые используют коллективный разум и способствуют сотрудничеству в сообществе безопасности, вероятно, будут играть все более важную роль в наших стратегиях цифровой защиты.
