OSSIM – Open Source Security Information Management

Danas je na tržištu dostupan velik broj raznovrsnih alata koji pomažu administratorima računalnih sustava u očuvanju njihove sigurnosti. Neki od dostupnih alata besplatni su i otvorenog koda, dok su neki komercijalni. Postoje alati koji su robusni i prilično složeni, ali i alati jednostavniji i time lakši za korištenje. Niz alata koristi se za analizu rada samog sustava, gdje dio njih služi za prevenciju napada i otkrivanje upada u sustave, a ostali se koriste za korektivne radnje nakon što se sigurnosnih incidenata. Upravo zbog raznovrsnosti ponuđenih alata administratori često imaju složenu zadaću odabira skupa alata koji će na najbolji način štititi njihov sustav. Raznovrsnost i nepovezanost dostupnih sigurnosnih alata očituje se i kod obrade niza informacija koje oni u svom radu pružaju.
Kako bi se olakšao posao administratora računalnih sustava, osmišljen je OSSIM (eng. Open Source Security Information Management). Riječ je o besplatnoj distribuciji alata otvorenog koda namijenjenih administraciji mrežnih i računalnih sustava, njihovoj zaštiti te uočavanju i prevenciji zlonamjernih napada. U ovom dokumentu detaljno je opisana spomenuta distribucija s naglaskom na konceptualnu ideju, način korištenja te opisom korištenih alata koji čine tu distribuciju.

 

 

OSSIM (eng. Open Source Security Information Management) je besplatna distribucija integriranih alata otvorenog koda razvijena s ciljem da pruži učinkovito i centralizirano okruženje za administraciju i zaštitu računalnih sustava. Njegovim razvojem želi se pružiti jedinstveno okruženje koje će centralizirati, organizirati te unaprijediti otkrivanje i prikaz sigurnosnih podataka na pojedinim računalnim sustavima. Samim time, olakšat će se posao administratora računalnih sustava i omogućiti učinkovitija zaštita pojedinih računala. OSSIM je razvila tvrtka AlienVault, objavljen je pod GPL (eng. GNU Public License) licencom, a trenutna aktualna inačica je 2.3.1.

OSSIM se sastoji od sljedećih elemenata:

  • •    upravljačka ploča namijenjena prikazu podataka na visokoj razini apstrakcije,
  • •    komponente za praćenje rizika od pojedinih sigurnosnih incidenata i sumnjivih aktivnosti koje omogućuju nadgledanje sustava na srednjoj razini apstrakcije te
  • •    forenzička konzola i komponente za praćenje mrežne aktivnosti namijenjene nadgledanju podataka na vrlo niskoj razini apstrakcije.

Cilj integracije postojećih i provjerenih sigurnosnih alata u kompaktnu cjelinu kao što je OSSIM ujedno je i povećanje osjetljivosti te smanjenje nepouzdanosti sigurnosnih izvještaja o radu sustava kroz:

  • međusobnu suradnju specijaliziranih alata,
  • prioritiziranje u postupku otkrivanja sumnjivih aktivnosti te prediktivnih i korektivnih radnji poduzetih od samog sustava te
  • procjenu rizika od sigurnosnih incidenata koji nastaju kao posljedica sumnjivih aktivnosti.

OSSIM distribucija sastoji se od poznatih i provjerenih sigurnosnih alata koji unose funkcionalnosti kao što su:

  • otkrivanje upada u sustav (eng. Intrusion Detection System, IDS) na temelju prepoznavanja uzoraka,
  • otkrivanje anomalija u radu sustava,
  • vatrozidi te
  • nadgledanje rada i performansi sustava.

Neki od značajnijih alata koji predstavljaju sastavni dio osnovne OSSIM distribucije su: Arpwatch, p0f, PADS, SPADE, OpenVAS, Snort, Tcptrack, ntop, Ngios, Osiris, Snare i OSSEC. Uz njih, OSSIM se sastoji od velikog broja vlastitih alata i modula za integraciju, korelaciju i upravljanje programskim dodacima. Arhitektura OSSIM sustava osmišljena je na način da pruža jednostavnu nadogradnju kroz implementaciju programskih dodataka (eng. plugin). S obzirom na otvorenost koda cjelokupne distribucije, razvoj programskih dodata danas je poprilično intenzivan. U prilog tome ide činjenica da je na službenom popisu trenutno 2395 provjerenih programskih dodataka raznovrsnih funkcionalnosti.
Zbog otvorenosti i fleksibilnosti nadogradnje, OSSIM distribuciji predstoji nastavak intenzivnog razvoja i u budućnosti. Matična tvrtka AlienVault i dalje nastavlja podupirati cjelokupni projekt te, premda se posljednjih godina više koncentrira na svoja komercijalna rješenja, i dalje paralelno objavljuje nove inačice osnovne distribucije. Ipak, razvojna okolina okupljena oko ovog projekta snosit će većinu tereta u nastavku njegova razvoja. Količina i spektar funkcionalnosti programskih dodataka dostupnih danas i više je nego dobar pokazatelj kako je nastavak razvoja OSSIM distribucije u dobrim rukama.

Cijeli dokument (u PDF obliku) "OSSIM – Open Source Security Information Management" preuzmite ovdje.

© Laboratorij za sustave i signale - Copyright 2008 - 2013. www.LSS.hr