Max Home IndustryMozilla работает над защитной платформой для автоматизации обработки инцидентов безопасности и обеспечения возможности использования обработчиков инцидентов. Почему бы не создать средства защиты — у нападающих их предостаточно !?
Согласно документации, платформа защиты Mozilla (MozDef) все еще находится на ранней стадии проверки концепции, но вы можете проверить ее в текущей форме на GitHub.
Объявление об этом в Readme на Github гласит, что «вдохновение для MozDef исходит из большого арсенала инструментов, доступных злоумышленникам. Доступны такие пакеты, как metasploit, armitage, lair, dradis и другие, чтобы помочь злоумышленникам координировать действия, обмениваться данными и точно настраивать свои атаки в режиме реального времени ». Напротив, защитники обычно ограничиваются вики-сайтами, системами продажи билетов и базами данных ручного отслеживания, прикрепленными к концу системы управления информационными событиями безопасности (SIEM).
Когда он будет завершен, MozDef предоставит более автоматизированную платформу. Цели команды, работающей над MozDef, заключаются в том, что он позволит защитникам быстро обнаруживать инциденты безопасности и реагировать на них, а также автоматизировать интерфейсы с другими системами, такими как bunker, banhammer и mig. Обработчики инцидентов смогут использовать его для совместной работы в реальном времени и для повторяемых, предсказуемых процессов обработки инцидентов. Платформа разработана для того, чтобы выйти за рамки традиционных систем SIEM в автоматизации обработки инцидентов, обмена информацией, рабочих процессов, метрик и автоматизации реагирования.
Для этого он будет предоставлять традиционные функции SIEM, включая:
- Прием событий / журналов из ваших систем
- Хранение событий / журналов
- Облегчение поиска
- Облегчение оповещения
- Упрощение управления журналами (архивирование, восстановление)
С технической точки зрения, ввод будет в формате JSON, и у вас будет открытый доступ к своим данным. Он будет интегрирован с различными поставщиками журналов, включая heka, logstash, beaver, nxlog и любым поставщиком, который может отправлять JSON либо на rabbit-mq, либо на конечную точку HTTP.
Разработчики планируют предоставить простые плагины python для управления вашими данными в пути и предоставить доступ в реальном времени командам специалистов по реагированию на инциденты, чтобы они могли видеть свою работу одновременно.
Это хорошая идея. Почему бы не превратить оборону в оружие в ответ на атаку? Единственный вопрос: будет ли это еще один проект Mozilla, который постепенно исчезает, и зайдет ли он достаточно далеко?