CrowdSec Многопользовательский брандмауэр

Основные статьи:

• Открытое программное обеспечение (Open Source)
• Межсетевой экран (Firewall)
• SaaS - История. Философия. Драйверы развития

2021

Выпуск версии CrowdSec v.1.2 и оптимизация системы репутации Consensus V2

12 октября 2021 года компания CrowdSec, разработчик бесплатной краудсорсинговой системы информационной безопасности, сообщила о выходе следующей версии своей платформы, CrowdSec v.1.2. Помимо дополнительных функций и поддержки плагинов, компания оптимизировала систему репутации для источников данных, которую назвала Consensus V2. Также продолжается закрытое тестирование веб-консоли CrowdSec Console.

CrowdSec - это бесплатная коллаборативная система динамического обеспечения безопасности с открытым исходным кодом или, если пользоваться определением самих разработчиков, система безопасности, которая позволяет обеспечить «цифровой коллективный иммунитет». В основе системы лежат два решения: первое анализирует логи из доступных источников, чтобы выявить потенциальные кибератаки и защитить пользователя от большинства известных атак, а второе отвечает за отправку данных об обнаруженных атаках и обмен этими данными с другими пользователями сети. Таким образом формируется база данных, полученная от независимых источников - пользователей - и от «ханипотов» (специальных ресурсов, созданных самой компанией в качестве приманки для злоумышленников для сбора информации). Именно использование этой базы позволяет обеспечить высокую эффективность системы при защите от кибератак.«Гознак» развивает систему «Электронный бюджет» с помощью импортозамещенных решений экосистемы EvaTeam 5.2 т

В версии 1.2 CrowdSec получила поддержку плагинов для отправки уведомлений, которая позволит оперативней информировать пользователей и ИБ-специалистов об обнаруженных атаках и принятых системой решениях о блокировке. Нативная поддержка плагинов появится для приложений Splunk, Elasticsearch и Slack. Также участники сообщества смогут сами разрабатывать плагины при помощи системы с открытым исходным кодом. Помимо плагинов, в релизе 1.2 появятся баунсеры Cloudflare и Nginx, которые будут доступны для скачивания в репозитории CrowdSec.

Ещё одним важным элементом версии 1.2 станет обновление системы репутации до Consensus V2. Система репутации используется CrowdSec, чтобы злоумышленники не смогли «отравить» базы и чтобы избежать ложноположительных срабатываний, которые могут затруднить работу пользователей. На начало октября 2021 года каждый пользователь, которых разработчики называют «наблюдателями», имеет собственный рейтинг, который основывается на нескольких факторах. Среди них: частота отправки подозрительных адресов IP и соответствие этих данных информации от других источников, включая собственную статистику CrowdSec, данные от пользователей с высокой репутацией и «ханипотов» компании. Также информация сравнивается с данными от Автономной системы (AS). Компания достаточно строго относится к отбору «наблюдателей», данные от которых в дальнейшем отправляются сообществу для защиты пользователей от кибератак. Среди более чем 700 000 IP-адресов в базе CrowdSec всего 2%, по информации компании, попадают в созданный комьюнити блэклист, чтобы избежать его «загрязнения» непроверенными сигналами. В итерациях системы репутации разработчики планируют постепенно увеличивать этот процент.

Компания продолжает закрытое тестирование веб-консоли CrowdSec, которая позволяет отслеживать поступающие из нескольких сетей данные при помощи единого веб-интерфейса. Также она даёт ИБ-специалистам доступ к информации и статистике обо всех уведомлениях, которые связаны с атаками на их сервер, и возможность экспорта этих логов в формате .CSV. Для подачи заявки на участие в тестировании необходимо пройти регистрацию на сайте проекта.

Доступность версии CrowdSec v.1.1x на платформе Package Cloud

Компания CrowdSec, разработчик бесплатной краудсорсинговой системы информационной безопасности, 21 июля 2021 года объявила о выходе о выпуске обновленного релиза CrowdSec v.1.1x и старте распространения решения через облачную платформу Package Cloud.

Использование платформы Package Cloud для распространения CrowdSec позволит значительно расширить спектр операционных систем, поддерживаемых решением. Теперь, помимо Debian и Ubuntu CrowdSec будет доступен для таких ОС, как Red Hat Enterprise Linux, CentOS, Amazon Linux (el/7, el/8, fc/33, fc/34, Amazon Linux/2 for x86-64 & Arm). Одновременно с началом использования репозитория Package Cloud CrowdSec получила поддержку пакетов в форматах RPM и Debian.

Платформа CrowdSec разрабатывается с использованием ПО с открытым исходным кодом. Она нацелена на лишение киберпреступников их главного преимущества – анонимности. CrowdSec анализирует логи из всех доступных источников и применяет эвристические сценарии, чтобы выявить агрессивное поведение и защитить пользователей и информационные системы от большинства известных атак. При этом система обменивается данными анализа с другими установленными экземплярами CrowdSec.

Система не привязана ни к одной из существующих платформ и обеспечивает защиту любых ресурсов, подверженных риску (серверов bare-metal, контейнеров, виртуальных машин, объектов Интернета вещей и т. д.) путём простого добавления нескольких строк кода/конфигурации. Быстрая установка с помощью мастера может быть выполнена даже начинающим системным администратором, специалистом DevOps или SecOps.

Package Cloud – сервис, предназначенный для дистрибуции пакетов (комбинации метаданных, конфигураций и программного обеспечения), сформированных и подготовленных к установке на компьютеры, работающие под управлениям ряда операционных систем *nix.

Установка обновлений в виде пакетов – непростая процедура, которая часто вызывает у пользователей сложности. Стремление упростить ее сделать предсказуемой привело к выбору Package Cloud в качестве дополнительного репозитория пакетов. До сих пор, когда CrowdSec распространялся только через загрузку непосредственно с GitHub, мы получали множество справедливых нареканий. Кроме того, использование только такой схемы дистрибуции ПО осложняло его тестирование на платформах, отличных от amd64. Мы решили и эту проблему, перейдя на использование тестовой среды AWS Code Build & CodePipeline, - рассказывает Тибо Кошлен, технический директор CrowdSec.

Измененная схема дистрибуции – не единственная новация в CrowdSec v.1.1x. Само решение также получило целый набор улучшений. Так, был переработан процесс сбора данных, во время которого теперь используются в том числе источники Amazon CloudWatch, сервиса позволяющего осуществлять мониторинг ресурсов и приложений AWS в локальной среде и облаке. Кроме того, CrowdSec теперь может использоваться в качестве сервера syslog, что позволяет в дальнейшем еще более расширить число используемых решением источников данных.