Twój kompleksowy sklep internetowy z antywirusami ESET, Trend Micro
Instalacja systemu SIEM jest jednym z kluczowych kroków w monitorowaniu bezpieczeństwa IT w organizacji. Wykorzystanie systemu Wazuh może pomóc w sprostaniu temu wyzwaniu.
Wazuh pełni funkcje, m. in. monitorowania zdarzeń systemu, wykrywania i alarmowania zespołów ds. cyberbezpieczeństwa na wypadek wystąpienia podejrzanej aktywności. Choć sam w sobie nie posiada narzędzi prewencyjnych, to Wazuh można zintegrować z systemem XDR lub rozwiązaniem Shuffle SOAR. Wówczas staje się potężnym sprzymierzeńcem w wykrywaniu anomalii. Jednak, czy sam Wazuh może stać się celem ataku? W tym artykule sprawdzimy i ocenimy bezpieczeństwo systemu.
Pomimo zaawansowanych funkcji takich jak vulnerability detector, system Wazuh nie jest całkowicie odporny na ataki. Jednak, haker musi posiadać zaawansowane umiejętności, czyli, np. dobrze znać systemy operacyjne, na których działa Wazuh, potrafić pisać skrypty i mieć zdolność programowania, co może być kluczowe w automatyzacji ataków i eksploracji systemu. Musi też posiadać wiedzę na temat różnych typów luk w zabezpieczeniach, np. SQL, buffer overflow oraz umiejętność ich wykorzystywania.
Jeśli już niestety włamie się do narzędzia, to ma kilka możliwości zafałszowania danych dostarczanych przez systemu Wazuh.
Manipulacja logami to poważne zagrożenie dla bezpieczeństwa, ponieważ takie działanie tworzy fałszywy obraz sytuacji i odwraca uwagę od rzeczywistych działań intruza. Po włamaniu do systemu Wazuh haker może próbować modyfikować, usuwać lub dodawać wpisy w logach, aby ukryć ślady swojej działalności.
Logi są domyślnie przechowywane w katalogach takich jak /var/ossec/logs/alerts i /var/ossec/archives lub innych lokalizacjach, które da się zidentyfikować w plikach konfiguracyjnych narzędzia. Jeśli haker sforsuje obronę i dobrze zna system Wazuh, może usunąć te pliki przy pomocy standardowych poleceń systemu operacyjnego, takich jak rm. Co więcej, Wazuh umożliwia automatyczne usuwanie logów. Zazwyczaj służy to do ustawienia harmonogramów, które będą regularnie usuwać stare logi zgodnie z wymaganiami prawnymi i regulacjami. Jednak, w rękach intruza taka funkcja może spowodować chaos.
Haker może przejąć kontrolę nad systemem Wazuh, prowadząc ataki typu brute-force, czyli systematyczne zgadywanie haseł, loginów lub kluczy szyfrujących. Konkretnym celem atakującego może być serwer Wazuh, a dokładniej usługi takie jak SSH (Secure Shell). Okazuje się jednak, że Wazuh też jest nieźle przygotowany na tego typu sytuacje.
Wazuh wykrywa i identyfikuje ataki brute-force poprzez analizę i korelacje logów z różnych źródeł, takich jak logi systemowe i logi aplikacji, aby wykryć wzorce wskazujące na próby takiego ataku. Reakcją Wazuha może być uruchomienie modułu aktywnej odpowiedzi, który pozwala na aktywowanie skryptów lub programów w odpowiedzi na określone zdarzenie. Jeśli Wazuh wykryje atak brute-force na SSH, uruchomi skrypt blokujący adres IP atakującego, np. po wykryciu reguły 5763 (SSH brute-force), moduł aktywnej odpowiedzi uruchomi skrypt firewall-drop, który zablokuje adres IP atakującego na określony czas.
Przykładowa konfiguracja aktywnej odpowiedzi może wyglądać w następujący sposób:
local
5763
180
W rezultacie skrypt firewall-drop zablokuje adres IP hakera na 180 sekund.
Ataki typu man-in-the-middle (MITM) to typ cyberataku, w którym haker przechwytuje i modyfikuje komunikację między dwiema stronami bez ich wiedzy, a w kontekście Wazuh celem może być wymiana informacji między serwerem Wazuh a agentami.
Ataki MITM można podzielić na kilka rodzajów, a jednym z nich jest packet sniffing. Ta metoda jest także stosowana jako narzędzie bezpieczeństwa. Wazuh można zintegrować z systemami wykrywania włamań opartymi na analizie ruchu sieciowego (NIDS) takimi jak, np. Suricata. To narzędzie przechwytuje pakiety danych przesyłane przez sieć i analizuje je pod kątem znanych wzorców ataków. Następnie Wazuh przetwarza te dane i generuje alerty, jeśli wykryje anomalie.
Jednak, tak jak wspomnieliśmy, packet sniffing może być metodą ataku. Hakerzy mogą stosować takie narzędzia jak Wireshark, Tcpdump czy Ettercap do przejmowania pakietów danych przesyłanych przez sieć. Jeśli komunikacja nie jest odpowiednio zabezpieczona, np. brakuje szyfrowania SSL/TLS, haker może uzyskać dostęp do wrażliwych informacji.
W ochronie Wazuha przed atakami hakerskimi warto zastosować wielowarstwowe podejście, które obejmuje różne techniki i narzędzia. Jedną z nich jest szyfrowanie komunikacji.
SSL (Secure Sockets Layer) oraz jego następca TLS (Transport Layer Security) to protokoły kryptograficzne, które zapewniają komunikację przez Internet. Chronią dane przesyłane między klientem a serwerem i uniemożliwiają ich odczytanie przez osoby trzecie. Poufność danych zostaje zachowana.
W podniesieniu poziomu bezpieczeństwa pomoże też konfiguracja zapory sieciowej. Uruchomienie reguł takich jak, np. iptables zablokuje nieautoryzowanych dostęp.
Administrator może ustawić domyślną politykę zapory na blokowanie wszystkich połączeń przychodzących i zezwalać tylko na te niezbędne.
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Z kolei zezwolenie na połączenie lokalne umożliwi komunikację wewnętrzną na serwerze. Co więcej, bezpieczny dostęp SSH tylko z zaufanych adresów IP ograniczy ryzyko ataków brute-force.
I tak i nie. Racja, narzędzia służące do ochrony stanowią łakomy kąsek dla cyberprzestępców. Jednak, maszyny wirtualne z systemami chroniąco-monitorującymi często mają niższy priorytet jeśli chodzi o ochronę. Słabe hasła, brak aktualizacji, korzystanie z domyślnych ustawień, brak procedur związanych z identyfikacją i zarządzaniem podatnościami na tego typu systemach brane są pod uwagę jako poważna luka w systemie bezpieczeństwa organizacji.
Dobrą praktyką jest swoisty rachunek sumienia jeśli chodzi o te elementy bezpieczeństwa IT. Niedopuszczalna jest również ekspozycja narzędzi z grupy offensive security – jak dedykowane do tego celu dystrybucje systemu Linux – w sieci produkcyjnej bez dostatecznej izolacji. Ekspozycja tego typu narzędzi w sieci może prowadzić do nieautoryzowanego dostępu do systemu. Hakerzy mogą próbować przejąć kontrolę nad samym systemem, aby wykorzystać go do skanowania i dalszych ataków na naszą i inne sieci lub urządzenia.
Nawet jeśli system jest dobrze zabezpieczony, zawsze istnieje ryzyko, że ktoś znajdzie sposób na jego obejście. W ten sposób możemy stać się ofiarami naszej własnej broni. Jeśli zastosujemy się do dobrych praktyk cyberhigieny, instalacja systemu SIEM będzie dobrą decyzją.
