Facebook успешно портировала свой open-source-инструмент детектирования, именуемый osquery, на Windows, предоставив пользователям бесплатный метод мониторинга сетей и диагностики проблем.

Этот фреймворк представляет операционную систему как реляционную базу данных и позволяет писать SQL-запросы, чтобы обнаруживать вторжения и другую вредоносную активность в сетях.

Дебют osquery состоялся в 2014 году; разработчик позиционировал его как кросс-платформенный инструмент, однако до настоящего момента osquery мог работать лишь на Ubuntu, CentOS или Mac OS X. Facebook не самый большой поклонник Windows, однако в марте компания подтвердила, что, уступив многочисленным просьбам, уже начала работать над версией для Windows 10.

Osquery представляет запущенные процессы — загруженные модули ядра, открытые сетевые соединения — в виде SQL-таблиц, что помогает визуализировать данные. По свидетельству Ника Андерсона (Nick Anderson), специалиста по ИБ в Facebook и автора нового анонса, его команда регулярно использует этот фреймворк для сбора информации о расширениях браузеров в корпоративной сети, чтобы вовремя находить и удалять вредоносные модули.

«По мере роста внедрения osquery возникло сильное и активное сообщество борцов за более открытый подход к безопасности, — пишет Андерсон. — Давний неверный лозунг «Security by obscurity» («Безопасность через неясность») был позабыт, когда участники этого сообщества начали обмениваться инструментарием и опытом».

Майк Арпайя (Mike Arpaia) из команды разработчиков osquery раскрыл планы относительно Windows-версии еще в марте, пообещав кросс-платформенную поддержку, новый демон мониторинга и активную систему разработки. Летом Арпайя ушел из Facebook и основал в Бостоне стартап Kolide, который ныне использует osquery, помогая организациям улучшить контроль над инфраструктурой.

Разработчики из ИБ-компании Trail of Bits, оказавшие Facebook помощь в доработке платформы, отметили, что портирование osquery на Windows прошло не совсем гладко. По словам Артема Динабурга, объединенной команде пришлось заново создавать функциональность для некоторых элементов, исправлять ошибки, искать альтернативные решения.

Таблицы, интегрированные в osquery, тоже были переделаны, чтобы не было потерь в эффективности обнаружения вторжений. Кроме того, поскольку osquery по сути демон, работающий в фоновом режиме, разработчики были вынуждены придать ему специальный скрипт и добавить функциональность сервиса, чтобы обеспечить успешное извлечение информации из текущих процессов.

Динабург также отметил, что Windows-версия osquery, как и в случае с Unix, поддерживает TLS для удаленных точек и проверяет подлинность сертификатов. Это означает, что администраторы могут использовать существующие osquery-инструменты вроде Doorman и на версии для Windows.

Комментируя итог совместной работы, исполнительный директор Trail of Bits Дэн Гвидо (Dan Guido) подчеркнул, что теперь, когда osquery способен работать на всех основных десктопных платформах, администраторам сетей станет неизмеримо легче контролировать системы.

«Поскольку osquery — кросс-платформенный инструмент, сетевые администраторы имеют возможность мониторить сложные состояния операционных систем в рамках всей инфраструктуры, — вторит Гвидо Динабург. — Те, кто уже использует osquery, смогут без проблем интегрировать Windows-машины, что позволит заметно повысить эффективность работы».

И Trail of Bits, и Facebook надеются, что организации, в парке которых нет систем на Mac OS X или Linux, по достоинству оценят их совместную разработку.

Категории: Кибероборона