原作者:Bezaleel Silva,
Zabbix巴西社区成员,自动化与监控领域专家
ONX Solutions创始人和CTO.
Zabbix开源社区(译)
1
概述
在当今技术驱动的时代,数据泄露和网络攻击依旧是各组织面对一个重大威胁,保护公司信息的安全性从未像现在这样备受关注。 为了解决这个问题,ISO(国际标准化组织)制定了风险管理系列标准,以期对企业和NPO等组织的风险管理工作提供更高层次的参考和指导。从而提高了运营的安全性和质量。
ISO/IEC 27005是构成网络风险工具包系列标准中的一个标准为各组织提供了如何通过提供一套有效风险管理框架解决这些难题的指南,根据标准,风险定义为:
风险是不确定性对目标的影响。某种特定的威胁利用目标的脆弱点进行攻击,从而给企业或组织带来损害。
例如服务器(servers)中发现的漏洞就是风险,可以使用监控工具来快速检测并且处理。
ISO / IEC 27005发布了风险监测的控制和指导方针,其中强调了以下内容:
“......因此必须持续进行监控以发现这些变化。”
2
Zabbix在风险管理中可以做什么?
通过使用ZABBIX进行主动监控,可以避免一些风险,下面我们举两个列子:
一 服务器(servers)中的勒索软件攻击
安全团队中的一个已知威胁是勒索软件。勒索软件被称为恶意代码,在执行时加密主机上的数据,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财(赎金形式包括真实货币、比特币或其它虚拟货币)。
勒索软件的传播手段与常见的木马非常相似,最常见方式有:
Ø 利用未修补系统中的漏洞。
Ø 通过未经过滤的防火墙端口。
通过Zabbix,信息安全团队可以主动进行勒索软件检测,例如,监控WSUS服务器是否具有实时更新,为异常打开的端口设置告警,对已知勒索软件进程执行提前设置好告警等。
在以下示例中,我们设置成在防火墙上打开 ransoware wannacray(9003,9101和9001)使用的端口时,Zabbix发出告警。
使用net.tcp.port key,即可在Zabbix中轻松配置这类告警。 点击进入Configuration> Host> Item并点击Create Item。
设置Name, Type, 和 Key,如下例所示:
单击添加。
现在我们需要创建一个Trigger。 在Host中导航到Trigger > Create Item。 设置Name, Severity和表达式:
我们使用的确切表达式是:
{srv_win:net.tcp.port[{HOST.IP},9003].last()}=1
单击 添加,即可完成。
一 文件更改
有些情况下,入侵者会修改操作系统的敏感文件,例如日志,用户,密码或服务配置。监控文件的完整性至关重要,Zabbix可以通过验证校验和(checksums)来解决这个问题:
通过使用vfs.file.cksum key在Zabbix中配置这个检查也是相当简单的。点击Configuration> Host> Item,然后单击Create Item。
根据示例设置Name, Type, 和Key:
单击添加
当然,我们也需要创建一个Trigger,所以前往Trigger> Create Item。 设置Name, Severity和表达式,如示例所示:
这是我们使用的表达式:
{srv_linux:vfs.file.cksum[/etc/passwd].diff(0)}>0
单击添加并完成。
以上是社区为大家分享的两个简单案例,您可以以此为基础,根据需要进行改进和丰富完善。
在Zabbix社区里,我们会一直为大家分享优秀的相关解决方案。无论您想要深度定制或开箱即用的解决方案,Zabbix都可以为您提供,也欢迎大家在社区讨论。
3
结论
为了符合ISO 27005,一些企业和组织将Zabbix用作其服务器,防火墙,云和整体基础架构的首选监控解决方案。 Zabbix的主动检测和监控,都可以辅助信息安全人员作出决策。