Diese Open-Supply-Instruments adressieren spezifische Safety-Probleme – mit minimalem Footprint.
Foto: N Universe | shutterstock.com
Cybersicherheitsexperten verlassen sich in diversen Bereichen auf Open-Supply-Lösungen – nicht zuletzt weil diese im Regelfall von einer lebendigen und nutzwertigen Neighborhood gestützt werden. Aber auch weil es inzwischen Hunderte qualitativ hochwertiger, quelloffener Optionen gibt, um Breaches und Datenlecks auf allen Ebenen des Unternehmens-Stacks zu verhindern.
Falls Sie nun gedanklich bereits die xz-utils-Backdoor-Keule bereitlegen: Ja, es kann sein, dass es in der Zukunft zu weiteren Vorfällen dieser Artwork kommt. Allerdings darf bezweifelt werden, dass eine ähnliche Schwachstelle in einem proprietären Stack ebenso schnell entdeckt worden wäre. Schließlich ermöglicht Open Supply erst, dass unabhängige Sicherheitsexperten Probleme wie diesen zeitnah auf die Spur kommen können. Um es kurz zu machen: Die Vorteile von Open Supply Instruments überwiegen – auch im Bereich der Cybersicherheit – die möglichen Gefahren.
Auf die folgenden quelloffenen Safety-Instruments sollten CSOs, CISOs und ihre Groups nicht verzichten. Beispielsweise, um:
Schwachstellen zu identifizieren,
Protokolle zu analysieren,
forensische Untersuchungen anzustoßen sowie
Assist für Menace Intelligence und Verschlüsselung sicherzustellen.
1. ZAP für Vulnerability Scans
Bei Zed Assault Proxy – kurz ZAP – handelt es sich um ein kostenloses Open-Supply-Werkzeug für Penetrationstests. Das Scanner-Instrument ist darauf konzipiert, potenzielle Schwachstellen und Sicherheitslücken in Webanwendungen aufzuspüren und stützt sich dazu auf umfangreiches Neighborhood-Wissen.
Dabei sitzt ZAP zwischen Browser und der zu testenden Internet-App und ist in der Lage, sämtliche Packets zu modifizieren, während es mögliche Angriffsvektoren durchläuft. Im Grunde handelt es sich um einen Proxy mit erweiterten Fähigkeiten, um nach Schwachstellen zu suchen. Dazu stellt ZAP eine Sammlung vordefinierter Angriffsmethoden zur Verfügung. Um auf spezifische Risiken zu testen, kann das quelloffene Instrument auch mit benutzerdefinierten Payloads und Regeln ausgestattet werden.
ZAP wird aktiv weiterentwickelt und kann mit Blick auf kommende Options eine ambitionierte Roadmap vorweisen. Optimiertes Scripting ist dort ebenso vertreten wie ein breiterer Assist für Protokolle wie gRPC. Das Instrument steht in Kind diverser Installer für alle gängigen Betriebssysteme zum Obtain zur Verfügung.
2. Wireshark für Paketanalysen
Ein Auge auf die Kommunikationslinien im Netzwerk zu werfen, ist eine der zielführendsten Methoden, um Datenlecks aufzuspüren. Für diese Zwecke ist Wireshark ein ebenso bewährtes wie hochwertiges Instrument: Es analysiert die Bits, die sich durch – kabelgebundene oder auch kabellose – Netzwerke bewegen und gleicht diese mit einem Regelwerk ab, das wiederum auf den Informationen Hunderter verschiedener Networking-Quellen fußt.
Wenn Sie sich für eine bestimmte Artwork von Daten-Visitors interessieren, die von einem spezifischen Softwarepaket ausgeht, ist es zudem möglich, dafür entsprechende Filter zu definieren. Auch dieses Open-Supply-Instrument läuft auf den meisten gängigen Betriebssystemen – inklusive aller Unix-Variationen.
Die Wireshark-Neighborhood ist in den letzten Jahren weiter gewachsen und engagiert sich insbesondere in Sachen Dokumentation und Schulungsmaterialien, wie ein Blick auf die offizielle Webseite unterstreicht.
3. Bloodhound Neighborhood Version für Incident Response
Tritt ein Safety Breach auf, nutzen Safety-Profis Forensik-Instruments, um die Angriffswege der Angreifer nachzuvollziehen. Das geht beispielsweise mit Bloodhound Neighborhood Version, der Open-Supply-Model des bekannten Enterprise-Instruments (die vom selben Workforce gepflegt wird).
Das Open-Supply-Werkzeug sorgt für Transparenz im Beziehungsgeflecht zwischen Lively-Listing- und Azure-Umgebungen und ist so in der Lage, auch hochkomplexe “Attack Paths” zu identifizieren und die in diesem Rahmen gefundenen Sicherheitslücken zu schließen. Das Instrument ist sowohl für Pink- als auch für Blue Groups geeignet.
4. Post-mortem für Cyberforensik
Bei Post-mortem handelt es sich um eine quelloffene IT-Forensik-Plattform, um Festplatten(-Pictures) gründlich zu untersuchen. Dabei lässt sich die Software program über zahlreiche Module auch erweitern, um spezifische Datentypen, die mit bestimmten Kompromittierungsarten in Verbindung stehen, zu identifizieren.
Beispielsweise untersucht das “Extension Mismatch Module” die interne Struktur von Dateien und gleicht diese mit ihrer Benennung ab. Entstehen hierbei Diskrepanzen, ist das ein erster Hinweis darauf, dass Angreifer den Visitors nutzen, um etwas zu verbergen. Darüber hinaus bietet Post-mortem unter anderem auch Erweiterungsmodule für Schulungen und Assist.
5. MISP für Menace Intelligence
Geht es um breit angelegte, kollektive Bemühungen, können Open-Supply-Instruments und -Plattformen glänzen. Die Malware Data Sharing Platform – kurz MISP – ist dafür das beste Beispiel. Die Plattform kommt ins Spiel, wenn es darum geht, die Daten von IT-Forensik-Instruments zu analysieren: Sie sammelt Informationen über potenzielle Angriffsvektoren in einer umfassenden Datenbank und bietet die Möglichkeit, diese Informationen über eine Suchmaschine mit eigenen Daten zu korrelieren. Dabei unterstützt die Lösung ein flexibles, objektbasiertes Datenmodell, das verschiedene Kompromittierungsindikatoren (Indicators of Compromise, IoC) visualisiert und sowohl über technische als auch nicht-technische Particulars Auskunft gibt. Ein Indexierungsalgorithmus der Assist für “Fuzzy Matching” bietet, deckt mögliche Übereinstimmungen automatisch auf.
MISP wurde gezielt für Sicherheitsteams entwickelt, um über geteilte Timelines und Occasion-Graphen zusammenzuarbeiten. Dieses quelloffene Projekt wird von der Europäischen Union unterstützt und erfreut sich diverser, umfassender Communities. Die webbasierten, größtenteils in PHP geschriebenen Instruments von MISP stehen auch in Quellcode-Kind zum Obtain zur Verfügung.
6. Let’s Encrypt für Verschlüsselung
Verschlüsselungsalgorithmen schaffen die Foundation für Safety, Datenschutz und Authentifizierung und sind in einer ganzen Reihe von quelloffenen Bibliotheken verfügbar. Zudem stützen sich auch viele Open-Supply-Instruments auf diese Algorithmen.
Zum Beispiel die Skript-Sammlung Let’s Encrypt. Sie ist darauf ausgelegt, Systemadministratoren das Leben leichter zu machen, indem sie Webserver mit Encryption-Fähigkeiten ausstattet. Dazu müssen die Admins nur einige Fragen beantworten – die entsprechenden Zertifikate für die Benutzer werden automatisiert generiert und gewährleisten, dass alle Daten die in diesem Rahmen übertragen werden, geschützt sind.
7. GNU Privateness Guard für Verschlüsselung
Eine vollständige Implementierung des PGP-Requirements zum Zwecke des Kommunikationsschutzes bietet GNU Privateness Guard.
Die Zielsetzung besteht dabei darin, die Endbenutzer zu befähigen, ihre E-Mail-Nachrichten zu verschlüsseln und zu signieren. Dabei werden sowohl Safe-Shell- als auch S/MIME-Interaktionen unterstützt.
8. Yara für Sample Matching
Wenn Malware-Samples identifiziert und klassifiziert werden sollen, verlassen sich viele Schadsoftwarespezialisten auf das Open-Supply-Projekt Yara.
Das quelloffene Instrument kann jedoch noch mehr und ist auch in Sachen Incident Response und IT-Forensik hilfreich: Es sucht auf Grundlage vorkonfigurierter und benutzerdefinierter Regeln nach identischen Mustern in Dateien oder auch laufenden Prozessen. Zusätzlich können auch Signaturinformationen von Viren über das quelloffene Instrument ClamAV sowie Regelsätze aus dem von der Neighborhood gepflegten YaraRules-Repository einfließen. Wichtig ist an dieser Stelle, sich der Grenzen der signaturbasierten Erkennung bewusst zu sein – und sich nicht ausschließlich auf dieses Open-Supply-Werkzeug zu verlassen.
Yara kann entweder über die Kommandozeile ausgeführt werden oder über eine Python-Bibliothek in entsprechende Skripte integriert werden.
9. OSquery für Endpunktabfragen
Einfach per SQL-Abfrage nach bösartigen Prozessen, Plugins oder auch Sicherheitslücken auf Home windows-, Mac- und Linux-Endpunkten zu suchen – das ist die Idee hinter OSquery, einem quelloffenen Instrument, das von Softwareingenieuren bei Fb entwickelt wurde.
Die Software program sammelt Betriebssysteminformationen wie laufende Prozesse, geladene Kernelmodule, offene Netzwerkverbindungen, Browser-Plugins oder Datei-Hashes in einer relationalen Datenbank. Diese können Sie mit einfachen SQL Queries abfragen – ganz ohne komplexen Python-Code. Damit löst OSquery ein bedeutendes Downside auf unkomplizierte und elegante Weise.
Zu den Komponenten des Instruments gehören die interaktive OSqueryi-Shell, die mit PowerShell genutzt werden kann sowie der Daemon OSqueryd, der für (Low-Stage) Host Monitoring zum Einsatz kommt, und es ermöglicht, Datenbankabfragen zu planen. (fm)
