Technologie zapewniające ochronę oparte na tradycyjnym obwodowym modelu bezpieczeństwa stały się już niewystarczające. Najbardziej spektakularne ataki w ostatnim okresie nie polegały na przełamaniu firewalli. Z tego względu popularność odzyskują systemy wykrywania włamań oparte na hoście.

Systemy wykrywania włamań pozwalają na monitorowanie urządzeń (hostów) podłączonych do sieci wewnętrznej organizacji. Jest to o tyle istotne, że w przeciwieństwie do systemów obwodowych tego typu urządzeń podłączonych do sieci mogą być setki, jak nie tysiące. Ręczne przeprowadzanie okresowych kontroli tak wielu maszyn bez odpowiedniego wsparcia narzędziowego jest praktycznie niemożliwe. Jednym z rozwiązań wspierających zespoły cyberbezpieczeństwa w ich pracy jest opensource’owy system Wazuh (wazuh.com). Powstał on w 2015 r. jako fork systemu OSSEC i obsługuje m.in. platformy Linux, Windows i macOS.

Do podstawowych funkcji systemu Wazuh można zaliczyć analizowanie logów, monitorowanie integralności plików, wykrywanie podatności i włamań, a także ocenę konfiguracji hosta. Logi systemów operacyjnych oraz aplikacji analizowane są przy wykorzystaniu reguł wskazujących m.in. ich niestandardowe działanie. Podczas kontroli integralności sprawdzane jest nie tylko tworzenie i usuwanie plików, ale także zmiany w jego treści czy też właściwościach. Podczas wykrywania włamań Wazuh monitoruje hosty pod kątem złośliwego oprogramowania oraz podejrzanych anomalii, bazując na sygnaturach oraz sprawdzając procesy i wywołania systemowe. Analizując dostępne na hostach oprogramowanie oraz korelując te dane z bazą CVE, umożliwia wykrywanie podatności, dzięki czemu można wykryć słabe punkty w krytycznych zasobach i podjąć odpowiednie działania naprawcze. Analiza systemu operacyjnego i aplikacji pozwala także na ocenę ich konfiguracji pod kątem zgodności z zasadami branżowymi (np. PCI DSS) oraz określonymi w danej organizacji.

> ARCHITEKTURA

Wazuh działa zgodnie z klasyczną architekturą klient–serwer, gdzie klient na bieżąco przekazuje serwerowi za pośrednictwem szyfrowanego kanału informacje o stanie hosta. Od wersji 4.3.0 system Wazuh został przebudowany, a do jego głównych komponentów po stronie serwera należą: Serwer (Wazuh–Server), Indeksator (Wazuh–Indexer) oraz Pulpit (Wazuh–Dashboard).

Komponent Serwer pełni dwie główne role. Po pierwsze, służy do zarządzania agentami, odpowiadając m.in. za rejestrowanie nowych agentów, sprawdzanie tożsamości każdego agenta oraz szyfrowanie komunikacji między agentami a serwerem. W drugim przypadku przeprowadza analizy danych otrzymanych z agentów. W zależności od zasobów pojedynczy Serwer może analizować dane z setek, a nawet tysięcy agentów. W przypadku dużego obciążenia może być uruchomiony w klastrze. Ponadto możliwe jest odbieranie danych z logów, gdy wdrożenie agenta nie jest możliwe, np. w przypadku przełączników czy routerów. Jeżeli w wyniku analizy otrzymanego zdarzenia Serwer stwierdzi zagrożenie lub anomalię, to dane zdarzenie jest wysyłane jako alert do Indeksatora. W tym celu używany jest Filebeat. Do interakcji z infrastrukturą systemu Wazuh Serwer wykorzystuje interfejs RESTful API.

Komponent Indeksator to zaawansowany silnik przeszukiwania i analizy danych. Przechowuje i indeksuje zdarzenia i alerty generowane przez komponent Serwer. Może być zainstalowany na tej samej maszynie co komponent Serwer, ale w celu poprawienia skalowalności i dostępności zalecana jest instalacja w klastrze.

Komponent Pulpit to po prostu webowy interfejs użytkownika, który poprzez predefiniowane pulpity pozwala na wizualizację i analizę danych oraz na monitorowanie i zarządzanie konfiguracją stanu całej platformy Wazuh.

Komponenty Indeksator i Pulpit zostały oparte na opensource’owym silniku wyszukiwania i analizy danych Open-Search (fork Elasticsearcha) oraz wizualizacji z wykorzystaniem OpenSearch Dashboards (fork Kibana).

Po stronie klienta, czyli na stacjach roboczych, serwerach, maszynach wirtualnych, a nawet instancjach w chmurach, jest instalowany komponent Agent. Jest to lekkie oprogramowanie monitorujące, zapewniające wgląd w bezpieczeństwo punktu końcowego. Dzięki agentom możliwe jest m.in. zbieranie logów systemowych, wykrywanie podatności, ocena konfiguracji zabezpieczeń czy też monitorowanie integralności plików. Dane otrzymywane z agentów przechowywane są zarówno na Serwerze, jak i na Indeksatorze. W przypadku dużych środowisk liczba zdarzeń może spowodować, że wąskim gardłem stanie się pojemność dysków. Biorąc to pod uwagę, można ograniczyć liczbę miejsc na przechowywanie danych i zdecydować się na ich trzymanie tylko na Indeksatorze, tym bardziej gdy Indeksator zostanie wdrożony w klastrze.

> URUCHOMIENIE

Instalację systemu Wazuh możemy wykonać na jednej maszynie lub w klastrze. Na stronach z dokumentacją znajdziemy szczegółowe poradniki, jak to zrobić. W celu zapoznania się z systemem wystarczy przeprowadzić najprostszą instalację przy użyciu asystenta instalacji Wazuh lub, jeżeli jednak nie chcemy instalować systemu, wykorzystać gotowe do użycia maszyny wirtualne w formacie OVA (do uruchomienia w hiperwizorze) lub AMI (do uruchomienia w instancji chmury AWS) albo obrazy Dockera.

Na potrzeby tego artykułu wykorzystana została maszyna wirtualna OVA (bit.ly/3fKupD3), która bazowała na systemie CentOS 7 oraz systemie Wazuh w wersji 4.3.6. Do zalogowania się do maszyny wirtualnej wykorzystywane jest konto „wazuh-user” z hasłem „wazuh” widoczne na ekranie po uruchomieniu. Należy mieć na uwadze, że wszystkie komponenty w maszynie wirtualnej możemy skonfigurować według własnych potrzeb, zmieniając zawartość następujących plików konfiguracyjnych:

• Serwer: /var/ossec/etc/ossec.conf;
• Indeksator: /etc/wazuh-indexer/opensearch.yml;
• Pulpit: /etc/wazuh-dashboard/opensearch_dashboards.yml/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml;
• Filebeat-OSS: /etc/filebeat/filebeat.yml.

> PULPIT

Żeby dostać się do pulpitu systemu Wazuh, należy w przeglądarce wpisać adres serwera (http://<adres_ip_serwera_wazuh>) oraz użyć poświadczeń – użytkownik: admin, hasło: admin.

Jeżeli zrobimy to za szybko po uruchomieniu maszyny wirtualnej, możemy otrzymać komunikat: „Wazuh dashboard server is not ready yet”. Niestety zdarza się, że odświeżenie strony nic nie daje. Wówczas należy zalogować się do maszyny wirtualnej i sprawdzić, czywszystkie komponenty działają, wydając polecenia systemctl status wazuh-indexer, systemctl status wazuh-manager oraz systemctl status wazuh-dashboard. Zwykle problem dotyczy Indeksera, a wydanie polecenia systemctl restart wazuh-indexer rozwiązuje problem.

Po uruchomieniu otrzymujemy pulpit o nazwie Modules. Widoczne są na nim dostępne w systemie moduły z podziałem na cztery podstawowe obszary związane z zarządzaniem pozyskaną informacją, audytowaniem i monitorowaniem polityk, wykrywaniem i reagowaniem na zagrożenia oraz określaniem zgodności z regulacjami. Podczas nawigacji po pulpicie możemy zagłębiać się w kolejne informacje. Jeżeli jednak chcielibyśmy wrócić do pulpitu Modules, to nie zawsze będzie to możliwe poprzez kliknięcie nazwy Wazuh w lewej górnej części okna i wybranie z wyświetlonego menu opcji Modules. Najczęściej będą dostępne opcje dotyczące wcześniej otwieranego agenta. Aby przejść do okna Modules, niezależnie od miejsca, w którym się aktualnie znajdujemy, wystarczy wybrać opcję Home lub Wazuh z menu dostępnego po kliknięciu ikony z kreseczkami (tzw. hamburgera) w lewej górnej części okna.

> AGENTY

Gdy uruchomiliśmy już serwer, przyszła pora na podłączenie hostów. Po uruchomieniu pulpitu Modules nad dostępnymi modułami widoczny jest komunikat o braku zainstalowanych agentów („No agents were added to this manager”) oraz przycisk Add agent. Klikamy ten przycisk i przechodzimy do okna Deploy a new agent. Po zainstalowaniu pierwszego agenta dodawanie kolejnych będzie możliwe z okna Agents, w którym nad listą agentów będzie dostępny przycisk Deploy new agent.

Kliknięcie przycisku Add agent lub Deploy a new agent spowoduje wyświetlenie formularza. Po jego wypełnieniu otrzymamy gotowe polecenie dostosowane do systemu operacyjnego hosta, które należy wykonać na hoście (rys. 2). Polecenie to zawiera adres IP serwera Wazuh oraz inne zmienne środowiskowe, dzięki czemu nie musimy ich konfigurować podczas instalacji. Należy pamiętać, że są to tylko podstawowe ustawienia, np. domyślnie hosty dodawane są do grupy Default. Podczas samodzielnej instalacji agenta możliwe jest wykorzystanie dodatkowych opcji bezpieczeństwa, np. haseł do autoryzacji rejestracji lub certyfikatów do wzajemnej weryfikacji tożsamości agenta i serwera. Drugim sposobem dodania hosta jest użycie interfejsu API, który umożliwia wysłanie do serwera żądania rejestracji agenta. Serwer zwraca unikalny klucz agenta, który należy umieścić w jego konfiguracji. Na rys. 3 przedstawione jest okno z listą hostów, na których został zainstalowany agent. Jego nazwa widoczna na liście to domyślnie nazwa hosta w momencie jego instalacji. System Wazuh nie pozwala na dodanie nowego hosta, którego nazwa już została wpisana na listę. Musimy wówczas zmienić nazwę hosta na unikalną.

Podobny problem może wystąpić także wtedy, gdy chcemy zmienić nazwę hosta, który wcześniej został już dodany do systemu Wazuh. Niestety nie zostanie ona automatycznie zmieniona, jeżeli host zmieni nazwę. Jeżeli będziemy zmuszeni do zmiany nazwy hosta, to nową musimy umieścić w głównym pliku konfiguracyjnym agenta o nazwie ossec.conf. W przypadku systemów 64-bitowych Windows plik ten znajduje się w folderze C:Program Files (x86)ossec-agent. W pliku tym należy wpisać nową nazwę hosta w znaczniku <agent_name>, a następnie zrestartować usługę wazuh (np. wykonując w PowerShellu polecenie Restart-Service -Name wazuh). W przypadku systemów Linux plik konfiguracyjny znajduje się w katalogu /var/ossec/etc/. Po jego zmianie należy zrestartować agenta, wykonując np. polecenie systemctl restart wazuh-agent.
 

[...]

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i cyberbezpieczeństwa. Członek ISSA Polska.