Facebook宣布上线新版Osquery工具,该工具已经移植到Windows10平台,安全团队可利用这个工具快速识别、分析Windows网络中存在的威胁。
Osquery是什么
Osquery是一种实现(instrumentation)框架,旨在帮助用户通过SQL查询,方便、有效地查看自己的操作系统。Osquery的基本功能是将操作系统展示为关系型数据库,操作系统中的进程、网络连接、已加载内核模块、硬件事件与浏览器插件以SQL表的形式体现,易于查询。
Osquery框架是一款开源工具,是Facebook在2014年10月发布,一直以来仅提供OS X与Linux版。Facebook表示,其安全团队一直在使用Osquery等工具来搜集公司网络中运行的浏览器扩展的数据,然后将这些信息与威胁情报数据进行比较,以快速识别、移除潜在的恶意扩展。
Osquery是Facebook漏洞赏金计划中的其中一个开源项目,这个计划旨在奖励发现漏洞的研究人员。值得注意的是,Osquery在GitHub平台上甚至超越了Rapid7的Metasploit框架,成为最受欢迎的“安全”类存储库。
“这种被称为‘威胁捕捉’(threat hunting)的主动技术是对传统检测型安全的重要提升,但是迄今为止提供这种技术的商业代理寥寥无几,”Facebook安全工程师尼克·安德森在一篇博文中如是说。
Osquery已经移植到windows平台
在企业安全公司Trail of Bits工程师的帮助下,Facebook将Osquery移植到了Windows平台,该公司在一篇博文中详述了此工具所面临的挑战与带来的益处。
Trail of Bits表示,“Osquery是一个跨平台工具,所以网管可使用它来监控整个基础设施上复杂的操作系统状态。已经部署Osquery的用户可无缝接入Windows机器,大大提升其工作效率。”
用户若希望在Windows网络中使用Osquery,须利用现成的源代码构建应用。目前,工具只能基于Windows 10构建。Osquery开发工具包包括构建过程中所需要的所有信息与脚本。
其它互联网公司开发的安全工具
Netflix: 安全猴 Security Monkey
“安全猴”是Netflix三年前开发的一个安全工具,能够对亚马逊云服务的配置进行监控和安全分析,组件功能包括监控各种AWS账号组件,机遇规则的开发和执行活动,在审计规则被触发时通知用户,并存储配置历史信息用作电子取证和审计目的。
Netflix: Scumblr和Sketchy
Scumblr和Sketchy是Netflix今年夏天同时发布的两款web应用,可以帮助安全团队监控和记录社交媒体和网络聊天中的安全威胁和攻击。
Facebook: OSquery
OSquery是Facebook刚刚发布的一个安全工具,为安全专业人士提供了一个可调用底层操作系统功能的系统,例如启动进程、加载内核模块、在SQL数据库表中打开网络连接进行查询和监控等。
Facebook:Conceal
Conceal是面向Android平台的一组简单的Java API,能够对SD卡等公共存储设备中的大文件进行快速加密和认证。Conceal由Facebook设计,开发者可利用Conceal开发出能适用于老版本Android的内存和处理器开销较低的加密算法。
Etsy: Skyline
Skyline是电商网站Etsy技术团队开发的一个类似Nagios的实时异常侦测系统,主要目的是为安全团队提供一个可扩展的被动监控指标体系——可以同时跟踪成百上千的指标。
Etsy与Facebook: MIDAS
MIDAS是Etsy与Facebook安全团队合作为Mac电脑开发的一个轻量级可扩展的入侵侦测系统。开发团队希望从MIDAS开始,企业开始留意OSX系统端点的常见攻击模式。
Twitter: Secureheaders
Secureheaders是Twitter送给web开发者的一份大礼,作为一款web安全开发工具,Secureheaders能够自动实施安全相关的header规则,包括内容安全政策(CSP),防止XSS、HSTS等攻击,防止火绵羊(Firesheep)攻击以及XFO点击劫持等。
Google: Rapid Response
GRR(Google Rapid Response)是Google开发的一个时间响应框架,支持进行远程实时取证。Google将GRR以开源工具的方式与安全界分享,可以作为FireEye/Mandiant 的MIR事件响应平台的替代产品。
Google:Rappor
RAPPOR(Randomized Aggregatable Privacy-Preserving Ordinal Response )是Google上月才发布的隐私工具,能够从终端用户软件采集众包统计数据,同时又不侵犯用户隐私。
AOL:Moloch
Moloch由AOL的技术团队开发,是一个网络流量分析取证工具,能够大规模抓取IPv4数据包,进行索引并存储,可通过一个简单的web界面浏览、搜索和输出所有PCAP数据。
