ماژول Security Configuration Assessment در Wazuh چیست؟
مقاومسازی سیستمها به معنی استفاده از ابزارها و تکنیکهای مختلفی به منظور کاهش آسیبپذیری در applicationها، سیستمها، زیرساخت و دیگر نواحی فناوری است. هدف از مقاومسازی سیستمها، کاهش خطرات امنیتی با حذف راههای بالقوه حمله و کاهش سطح آسیبپذیریها میباشد. یکی از ابزارهای مناسبی که در این حوزه میتوان به کار گرفت، Wazuh است. این راهکار به کمک یکی از ماژولهای خود با نام SCA (Security Configuration Assessment)، به فرآیند مقاومسازی، کمک شایانی میکند.
Wazuh به کمک این ماژول، اسکن هایی جهت کشف Misconfigurationهای موجود در سطح شبکه انجام میدهد و وضعیت پیکربندی ها را بر اساس Policyهایی که تعریف شده است، مشخص میکند. به عنوان مثال SCA میتواند ارزیابی کند که آیا لازم است پیکربندی مربوط به رمز عبور تغییر کند یا نرم افزارها و سرویس های غیر ضروری حذف یا غیر فعال شوند یا خیر.
Policyهای نوشته شده برای ماژول SCA با فرمت های YAML میباشند و به دلیل سادگی و قابل فهم بودن آن توسط انسان، میتوان آنها را با توجه به سیاست های سازمان و نیاز های موجود گسترش داد. علاوه براین Wazuh با مجموعه ای از Policyهای از پیش تعیین شده که اغلب بر اساس Benchmarkهای CIS میباشد، استانداردهایی را برای Hardening سیستم ها در نظر گرفته است. مثال زیر یک نمونه از Alertهای تولیدشده پس از انجام اسکن بر روی یک ویندوز 10 را نشان میدهد
این Alert مربوط به ممیزی Do not allow passwords to be saved که بخشی از استاندارد CIS است، میباشد.
Wazuh
همچنین Wazuh برای مدیریت و گزارش گیری از Alertهای موجود، داشبوردهایی جهت تحلیل و بررسی بهتر و سریع تر را به کاربران ارائه میدهد. در شکل زیر نمونهای از این داشبوردهای مدیریتی که بر اساس استاندارد CIS بوده و بر روی سیستم عامل لینوکس و توزیع Debian نسخه 9 تست گرفته شده را میتوان مشاهده نمود.
خروجی Alertهای SCA به صورت داشبورد
برای انجام فرآیند اسکن Hostها و کشف Misconfigurationهای موجود، هر Agent که دارای یک پایگاه داده داخلی است، وضعیت فعلی موارد چک شده را ذخیره میکند. همچنین به منظور جلوگیری از ایجاد ترافیک غیر ضروری در شبکه، Agent این قابلیت را دارد که صرفا تغییرات بین دو اسکن را ارسال نماید و اگر تغییری صورت نگرفته باشد، خلاصه ای از اسکن را ارسال کند.
هر رویداد پس از بررسی، دارای سه نتیجه Failed، Passed و Not applicable میباشد. در مواقعی که پیکربندی روی Hostهای شبکه با فایل Policy موجود، همخوانی داشته باشد پیغام Passed و در غیر این صورت پیغام failed نمایش داده میشود همچنین اگر در هنگام بررسی و اسکن، Agent با Error مواجه شود و نتواند فرآیند اسکن را به اتمام برساند، هشدار Not-applicable نمایش داده خواهد شد. این هشدار ها از طریق Agent راهکار Wazuh به سمت سرور فرستاده شده و از طریق صفحه وب سرویس Kibana به کاربر نمایش داده میشود.
نویسنده: احمدرضا نوروزی
منبع: شرکت فناوری راه نو سورین