ماژول Security Configuration Assessment در Wazuh چیست؟
مقاومسازی سیستمها به معنی استفاده از ابزارها و تکنیکهای مختلفی به منظور کاهش آسیبپذیری در applicationها، سیستمها، زیرساخت و دیگر نواحی فناوری است. هدف از مقاومسازی سیستمها، کاهش خطرات امنیتی با حذف راههای بالقوه حمله و کاهش سطح آسیبپذیریها میباشد. یکی از ابزارهای مناسبی که در این حوزه میتوان به کار گرفت، Wazuh است. این راهکار به کمک یکی از ماژولهای خود با نام SCA (Security Configuration Assessment)، به فرآیند مقاومسازی، کمک شایانی میکند.
Wazuh به کمک این ماژول، اسکنهایی جهت کشف Misconfigurationهای موجود در سطح شبکه انجام میدهد و وضعیت پیکربندیها را بر اساس Policyهایی که تعریف شده است، مشخص میکند. به عنوان مثال SCA میتواند ارزیابی کند که آیا لازم است پیکربندی مربوط به رمز عبور تغییر کند یا نرم افزارها و سرویسهای غیر ضروری حذف یا غیر فعال شوند یا خیر.
Policyهای نوشته شده برای ماژول SCA با فرمتهای YAML میباشند و به دلیل سادگی و قابل فهم بودن آن توسط انسان، میتوان آنها را با توجه به سیاستهای سازمان و نیازهای موجود گسترش داد. علاوه براین Wazuh با مجموعه ای از Policyهای از پیش تعیین شده که اغلب بر اساس Benchmarkهای CIS میباشد، استانداردهایی را برای Hardening سیستمها در نظر گرفته است. مثال زیر یک نمونه از Alertهای تولیدشده پس از انجام اسکن بر روی یک ویندوز 10 را نشان میدهد
این Alert مربوط به ممیزی Do not allow passwords to be saved که بخشی از استاندارد CIS است، میباشد.
Wazuh
همچنین Wazuh برای مدیریت و گزارش گیری از Alertهای موجود، داشبوردهایی جهت تحلیل و بررسی بهتر و سریع تر را به کاربران ارائه میدهد. در شکل زیر نمونهای از این داشبوردهای مدیریتی که بر اساس استاندارد CIS بوده و بر روی سیستم عامل لینوکس و توزیع Debian نسخه 9 تست گرفته شده را میتوان مشاهده نمود.
خروجی Alertهای SCA به صورت داشبورد
برای انجام فرآیند اسکن Hostها و کشف Misconfigurationهای موجود، هر Agent که دارای یک پایگاه داده داخلی است، وضعیت فعلی موارد چک شده را ذخیره میکند. همچنین به منظور جلوگیری از ایجاد ترافیک غیر ضروری در شبکه، Agent این قابلیت را دارد که صرفا تغییرات بین دو اسکن را ارسال نماید و اگر تغییری صورت نگرفته باشد، خلاصه ای از اسکن را ارسال کند.
هر رویداد پس از بررسی، دارای سه نتیجه Failed، Passed و Not applicable میباشد. در مواقعی که پیکربندی روی Hostهای شبکه با فایل Policy موجود، همخوانی داشته باشد پیغام Passed و در غیر این صورت پیغام failed نمایش داده میشود همچنین اگر در هنگام بررسی و اسکن، Agent با Error مواجه شود و نتواند فرآیند اسکن را به اتمام برساند، هشدار Not-applicable نمایش داده خواهد شد. این هشدارها از طریق Agent راهکار Wazuh به سمت سرور فرستاده شده و از طریق صفحه وب سرویس Kibana به کاربر نمایش داده میشود.
نویسنده: احمدرضا نوروزی
منبع: شرکت فناوری راه نو سورین