معرفی ماژول Security Configuration Assessment در Wazuh

هدف از مقاوم‌سازی سیستم‌ها، کاهش خطرات امنیتی با حذف راه‌های بالقوه حمله و کاهش سطح آسیب‌پذیری‌ها می‌باشد. یکی از ابزارهای مناسبی که در این حوزه می‌توان به کار گرفت، Wazuh است.

مقاوم‌سازی سیستم‌ها به معنی استفاده از ابزارها و تکنیک‌های مختلفی به منظور کاهش آسیب‌پذیری در applicationها، سیستم‌ها، زیرساخت و دیگر نواحی فناوری است. هدف از مقاوم‌سازی سیستم‌ها، کاهش خطرات امنیتی با حذف راه‌های بالقوه حمله و کاهش سطح آسیب‌پذیری‌ها می‌باشد. یکی از ابزارهای مناسبی که در این حوزه می‌توان به کار گرفت، Wazuh است. این راهکار به کمک یکی از ماژول‌های خود با نام SCA (Security Configuration Assessment)، به فرآیند مقاوم‌سازی، کمک شایانی می‌کند.

Wazuh به کمک این ماژول، اسکن هایی جهت کشف Misconfigurationهای موجود در سطح شبکه انجام می‌دهد و وضعیت پیکربندی ها را بر اساس Policyهایی که تعریف شده است، مشخص می‌کند. به عنوان مثال SCA می‌تواند ارزیابی کند که آیا لازم است پیکربندی مربوط به رمز عبور تغییر کند یا نرم افزارها و سرویس های غیر ضروری حذف یا غیر فعال شوند یا خیر.

Policyهای نوشته شده برای ماژول SCA با فرمت های YAML می‌باشند و به دلیل سادگی و قابل فهم بودن آن توسط انسان، می‌توان آنها را با توجه به سیاست های سازمان و نیاز های موجود گسترش داد. علاوه براین Wazuh با مجموعه ای از Policyهای از پیش تعیین شده که اغلب بر اساس Benchmarkهای CIS می‌باشد، استانداردهایی را برای Hardening سیستم ها در نظر گرفته است.  مثال زیر یک نمونه از Alertهای تولید‌شده پس از انجام اسکن بر روی یک ویندوز 10 را نشان می‌دهد

این Alert مربوط به ممیزی Do not allow passwords to be saved که بخشی از استاندارد CIS است، می‌باشد.

همچنین Wazuh برای مدیریت و گزارش گیری از Alertهای موجود، داشبوردهایی جهت تحلیل و بررسی بهتر و سریع تر را به کاربران ارائه می‌دهد. در شکل زیر نمونه‌ای از این داشبوردهای مدیریتی که بر اساس استاندارد CIS بوده و بر روی سیستم عامل لینوکس و توزیع Debian نسخه 9 تست گرفته شده را می‌توان مشاهده نمود.

خروجی Alertهای SCA به صورت داشبورد

برای انجام فرآیند اسکن Hostها و کشف Misconfigurationهای موجود، هر Agent که دارای یک پایگاه داده داخلی است، وضعیت فعلی موارد چک شده را ذخیره می‌کند. همچنین به منظور جلوگیری از ایجاد ترافیک غیر ضروری در شبکه، Agent این قابلیت را دارد که صرفا تغییرات بین دو اسکن را ارسال نماید و اگر تغییری صورت نگرفته باشد، خلاصه ای از اسکن را ارسال کند.

هر رویداد پس از بررسی، دارای سه نتیجه Failed، Passed و Not applicable می‌باشد. در مواقعی که پیکربندی روی Hostهای شبکه با فایل Policy موجود، همخوانی داشته باشد پیغام Passed و در غیر این صورت پیغام failed نمایش داده می‌شود همچنین اگر در هنگام بررسی و اسکن، Agent با Error مواجه شود و نتواند فرآیند اسکن را به اتمام برساند، هشدار Not-applicable نمایش داده خواهد شد. این هشدار ها از طریق Agent راهکار Wazuh به سمت سرور فرستاده شده و از طریق صفحه وب سرویس Kibana به کاربر نمایش داده می‌شود.

نویسنده: احمدرضا نوروزی

منبع: شرکت فناوری راه نو سورین