Главная Блог Использование Wazuh для модели безопасности Zero Trust
Блог

Использование Wazuh для модели безопасности Zero Trust

Zero Trust меняет подход организаций к решению вопросов безопасности, отказываясь от полного доверия и непрерывно анализируя и проверяя запросы на доступ. В отличие от модели безопасности на основе периметра, пользователи в среде не получают автоматического доверия после предоставления им доступа. Zero Trust поощряет постоянный мониторинг каждого устройства и пользователя, что обеспечивает устойчивую защиту после успешной аутентификации пользователя.

Почему компании внедряют Zero Trust?

Компании внедряют модель безопасности Zero Trust для защиты от сложных и все более изощренных киберугроз. Это устраняет ограничения традиционных моделей безопасности на основе периметра, которые включают отсутствие безопасности внутреннего сетевого трафика (east-west), безусловное доверие к инсайдерам и отсутствие надлежащей видимости.

Нулевое доверие повышает уровень безопасности организации, предлагая:

  • Улучшение состояния безопасности. Организации могут улучшить свое состояние безопасности, постоянно собирая данные о сетевом трафике, запросах на доступ и действиях пользователей/систем в своей среде.
  • Защита от внутренних угроз. Zero Trust гарантирует, что каждый пользователь в пределах сетевого периметра проходит аутентификацию перед предоставлением доступа по принципу «никогда не доверяй, всегда проверяй»..
  • Адаптацию к удаленной работе. Нулевое доверие повышает защищенность организаций, работающих удаленно, предоставляя приоритет проверке идентичности, безопасности и непрерывному мониторингу каждого устройства/пользователя.
  • Соответствие требованиям. Помогает организациям соблюдать требования, обеспечивая строгий контроль, непрерывный мониторинг и защиту данных в соответствии с нормативными стандартами.
  • Смягчение последствий нарушений. Внедряя автоматизированные механизмы реагирования, организации могут быстро ограничить права доступа для скомпрометированных учетных записей и устройств, тем самым сдерживая потенциальный ущерб и уменьшая общее воздействие нарушения.

Как использовать Wazuh для обеспечения Zero Trust защиты

Wazuh – это платформа безопасности с открытым исходным кодом, которая предлагает объединенные возможности XDR и SIEM для рабочих нагрузок в облачных и локальных средах.

Возможности Wazuh помогают организациям защитить свои ІТ-среды от различных угроз, что делает его подходящим решением при применении модели нулевого доверия. Благодаря мониторингу в режиме реального времени, автоматизированному реагированию на инциденты и широкой видимости поведения пользователей и конфигураций системы, Wazuh позволяет выявлять потенциальные нарушения и реагировать на них до обострения ситуации. Ниже приведены несколько случаев использования Wazuh для обеспечения Zero Trust защиты.

Выявление злоупотреблений законными инструментами

Возможности Wazuh, такие как мониторинг системных вызовов, оценка конфигурации безопасности (SCA) и анализ данных журналов, могут быть использованы для выявления злоупотреблений законными инструментами.

Функция мониторинга системных вызовов анализирует доступ к файлам, выполнение команд и системные вызовы на конечных точках Linux. Это помогает охотникам за угрозами (threat hunters (TH)) выявлять, когда доверенные инструменты используются в злонамеренных целях, таких как расширение привилегий или несанкционированное выполнение скриптов.

Wazuh SCA оценивает конфигурацию системы, чтобы выявить неправильные элементы, которые могут быть использованы злоумышленниками. Сканируя уязвимости, такие как ненужные службы, слабые политики паролей или небезопасные сетевые конфигурации, SCA уменьшает поверхность атаки и предотвращает злоупотребление легальными инструментами.

Netcat – это инструмент, который широко используется злоумышленниками для создания бэкдоров, сканирования портов, передачи файлов и создания обратной оболочки (reverse shell) для удаленного доступа. Wazuh может отслеживать и оповещать о подозрительном использовании команд.

Wazuh-audits-the-Netcat-command-to-detect-suspicious-activities
Wazuh проводит проверку команды Netcat для выявления подозрительных действий

Как показано выше, каждый раз, когда выполняется команда nc, Wazuh генерирует уведомление, которое позволяет охотникам за угрозами (threat hunters) видеть выполненную команду и ее результаты.

Обнаружение начального доступа

Wazuh использует свои возможности сбора данных журналов для сведения журналов из различных источников в ІТ-среде. Он собирает, анализирует и хранит журналы с конечных точек, сетевых устройств и приложений, а также выполняет анализ в режиме реального времени.

CVE-2024-3094 – это критическая уязвимость в версиях 5.6.0 и 5.6.1 XZ Utils, широко используемого инструмента для сжатия данных. Причиной стала атака на цепочку поставок, которая внедрила в программное обеспечение бэкдор, что позволило получить несанкционированный удаленный доступ к системам. В частности, он использует библиотеку liblzma, зависимую от OpenSSH, что позволяет злоумышленникам выполнять произвольные команды через SSH до аутентификации. Это может привести к удаленному выполнению кода (RCE), что ставит под угрозу безопасность системы.

Wazuh обнаруживает и отправляет журналы о потенциально вредоносных sshd-процессах с помощью настраиваемых декодеров и правил. Такой подход помогает на ранних стадиях выявлять попытки эксплуатации этой уязвимости.

Wazuh-audits-the-sshd-service-to-detect-CVE-2024-3094
Wazuh проверяет сервис sshd на предмет обнаружения CVE-2024-3094т

Как показано выше, после анализа сервиса sshd, Wazuh обнаруживает и помечает аномальные шаблоны активности.

Реагирование на инциденты

Платформа Wazuh улучшает реагирование на инциденты для команд защиты, обеспечивая видимость событий в режиме реального времени, автоматизируя действия по реагированию и уменьшая ощущение усталости от оповещений об угрозе.

Используя функцию активного противодействия, Wazuh позволяет командам эффективно управлять инцидентами с помощью автоматизированных скриптов, которые могут быть активированы для любого сконфигурированного события.

Wazuh-Active-Response-capability-auto-deletes-files-with-hash-values-in-the-CDB-list
Функция активного противодействия Wazuh автоматически удаляет файлы с хеш-значениями из списка CDB

Вывод

Поскольку конфиденциальные данные и приложения теперь распределены между несколькими серверами и средами, поверхность атаки расширилась. Это делает организации более уязвимыми к утечкам данных, программам-вымогателям и новым угрозам. Организации, которые применяют модель безопасности Zero Trust, могут создать усиленный механизм киберзащиты от меняющихся угроз.

Объединенная платформа XDR и SIEM Wazuh может реализовать некоторые аспекты этого подхода, используя, среди прочего, сбор данных журналов, обнаружение уязвимостей и автоматизированное реагирование на инциденты.

Источник

Другие материалы по теме

insider threats

Полный гайд по управлению инсайдерскими рисками

11.03.2026
PAM 2026

PAM 2026: тренды и вызовы

27.01.2026
Configuration management

Управление конфигурациями для безопасного контроля конечных точек

13.01.2026

Подписаться на новости

    Оставьте свои контакты, и мы с вами свяжемся