使用傳統防毒軟體,已經無法有效防範進階的網路駭客攻擊的多樣化。目前國內外資安廠商開始瞄準端點上的防護,利用白名單技術、事件偵測回應及大量的情資系統作即時的防範,國外較知名的資安大廠即為Carbon Black開發的端點軟體防護,分別有Protection、Response、Defense等3種產品可以選擇。若一般中小企業無足夠的預算,則可自建一套開源端點軟體作基本防護,本文介紹的即為Wazuh端點防護的開源軟體。
Wazuh是一套端點防護的開源軟體(Open Source),分為Agent端與Server端,說明如下:
Agent端主要是安裝在目標電腦(俗稱端點電腦),在端點電腦上進行系統檔案的資料蒐集與資安防護並將蒐集而來的資料回傳至Server端。
Server端則是進行系統資安政策的設定與統整Agent端傳送過來的資料。
Wazuh產品特色:
日誌管理和分析(Log management and analysis):
針對端點電腦的系統日誌作管理及分析,並由agent端傳送至server端呈現視覺化資料
檔案完整性監控(File integrity monitoring):
針對系統檔案的屬性、權性進行全面性的完整監控
入侵和異常偵測(Intrusion and anomaly detection):
若有惡意程式的攻擊或rootkit或其他可疑的執行程序,則會進行事件的告警
系統設定政策與監控(Policy and compliance monitoring):
定期掃瞄系統的資安政策與未修補的漏洞
小結
依照Wazuh官方相關文件來說,Wazuh在端點軟體上的防護確實可以達到不錯的基本成效,且在agent端及server端分別提供蒐集資料、端點電腦資安防護、視覺化的管理介面,對於有心想要管理好內部資安的人員,確實可以作為入門學習的第一步。
Wazuh官方網站: https://documentation.wazuh.com/current/index.html Wazuh相關文章: https://securityonline.info/wazuh-host-endpoint-security/