Czym jest Volatility?

Volatility to zaawansowany, otwartoźródłowy framework do analizy zrzutów pamięci RAM (tzw. memory forensics). Kiedy dochodzi do incydentu bezpieczeństwa, “twardy” dysk to tylko część historii. Pamięć RAM zawiera ulotny, ale niezwykle cenny obraz tego, co działo się w systemie w momencie ataku.

Volatility pozwala analitykom “wejść” do zamrożonego stanu pamięci i odtworzyć działające procesy, otwarte połączenia sieciowe, załadowane moduły jądra, a nawet odzyskać fragmenty danych, które nigdy nie zostały zapisane na dysku. Jest to jedno z najważniejszych narzędzi w dziedzinie Digital Forensics and Incident Response (DFIR).

Co to jest Wazuh?

Wazuh to darmowa platforma open-source służąca do monitorowania bezpieczeństwa, wykrywania zagrożeń i reagowania na incydenty. Łączy w sobie funkcje SIEM (Security Information and Event Management) oraz XDR (Extended Detection and Response).

Mówiąc prościej: jeśli Suricata (o której pisaliśmy wcześniej) jest strażnikiem pilnującym bramy (sieci), to Wazuh jest systemem kamer i czujników wewnątrz każdego pokoju (serwera). Analizuje to, co dzieje się na samym systemie.

Jak działa Wazuh?

System składa się z dwóch głównych elementów:

Co to jest Suricata?

Suricata to otwartoźródłowy, wysokowydajny silnik do monitorowania bezpieczeństwa sieci (NSM), wykrywania intruzów (IDS) i zapobiegania włamaniom (IPS). Jest to potężne narzędzie, które analizuje ruch sieciowy w czasie rzeczywistym, szukając w nim śladów złośliwej aktywności, takiej jak ataki hakerskie, malware czy próby skanowania portów.

Jest to główny konkurent dla starszego projektu Snort, oferujący jednak nowoczesną architekturę wielowątkową, co pozwala mu na znacznie wydajniejszą pracę na współczesnych procesorach wielordzeniowych.

Co to jest LKRG?

LKRG (Linux Kernel Runtime Guard) to zaawansowany moduł jądra, którego celem jest ochrona systemu Linux przed exploitami i złośliwym oprogramowaniem próbującym zmodyfikować działające jądro.

W przeciwieństwie do antywirusów, które szukają sygnatur znanych plików, LKRG działa na znacznie niższym poziomie. Monitoruje on integralność struktur jądra w czasie rzeczywistym. Można o nim myśleć jak o “systemie alarmowym”, który sprawdza, czy nikt nie próbuje podmienić kodu jądra lub nielegalnie zmienić uprawnień procesu.