Как-то раз мы задумались про Endpoint Security Думали ли вы п | Just Security

Как-то раз мы задумались про Endpoint Security

Думали ли вы про безопасность своих хостов, будь то виртуалки или физические хосты? Я про то, корректно ли настроена машинка, есть ли уязвимые пакеты или какие-то явыне недостатки? Если да, то, возможно, сможете найти в посте что-то интересное/

Для защиты хостов в инфраструктуре мы сформировали следующие требования:

- Желательно OpenSource;
- Бесплатное решение или из расчета ~10 долларов за хост;
- Возможность выгрузки логов в SIEM или в формате JSON;
- Централизованное управление.

Мы не рассматривали в классическом виде решения класса XDR, так как понимали, что это будет или дорого, или плохо работающее

После ресерча остановились на двух кандидатах:

- Wazuh
- Vulners

Мы не рассматривали OSSEC, поскольку Wazuh по сути является форком OSSEC и показался более зрелым. А теперь по порядку

Wazuh

Вазух — это не просто Host Based IDS, это что-то вроде микса SIEM и XDR в одном месте. Система предоставляет централизованное управление и установку агентов на сервера, предоставляя следующие возможности:

- аналитика по детектам;
- безопасность контейнеров;
- обнаружения вторжений;
- анализ данных журналов;
- мониторинг целостности файлов;
- обнаружение уязвимостей в пакетах;
- реагирование на инциденты.

Агенты Wazuh достаточно просто устанавливаются на эндпоинт и осуществляют общение с сервером по зашифрованному каналу. Прекрасно работает с облачными решениями, например, AWS, Google cloud, Azure. Сами агенты могут быть установлены на Win, Linux, MacOS и даже AIX, прекрасно раскатываются с помощью Ansible.

На серверной части в дашбордах можно увидеть аналитику и сработки: уязвимости, аномальное поведение на хосте, анализ журналов логирования, конфигурацию ассета и тд.

Vulners

Наверное, все наслышаны про проект vulners? Кроме endpoint security проект предлагает сервисы, например, Perimeter scanner. Сам агент очень просто устанавливается на Linux сервера и так же прост в управлении. Vulners в отличии от Wazuh направлен конкретно на сканирование уязвимостей, установив агент, вы не получите анализ журналов логирования или мониторинг целостности файла, но зато сможете своевременно и емко получать информацию об уязвимостях на сервере, например, в устаревших пакетах.

Будем пробовать и Vulners, и Wazuh о впечатлениях расскажем в следующих постах.

А есть ли у вас любимчики в классе Endpoint Security? Будем рады услышать о вашем опыте.