Soluciones
Facebook presenta la herramienta de detección osquery para Windows
Facebook ha anunciado en los últimos días que ha portado su herramienta de detección basada en consultas similares a SQL, osquery, al sistema operativo Windows, ofreciendo así a los usuarios de este sistema un método gratuito y Open Source para monitorizar redes y diagnosticar problemas.
Este framework, que convierte operativos en bases de datos relacionales, permite a los usuarios escribir consultas en un lenguaje similar al SQL (de hecho la semántica y la sintaxis es básicamente la misma) para detectar intrusiones y otros tipos de actividades maliciosas que se estén produciendo a través de las redes.
osquery debutó en 2014 siendo desde el primer momento una herramienta Open Source y multiplataforma, aunque empezó solo soportando Ubuntu, CentOS y OS X/macOS. La no presencia de esta herramienta en Windows era debido a que el sistema operativo no era un buen mercado para Facebook en esta área, sin embargo, las numerosas peticiones recibidas el pasado mes de marzo han terminado con el lanzamiento de una versión para Windows 10.
osquery reimagina la ejecución de los procesos, como la carga de módulos en el kernel o las conexiones a una red abierta, convirtiéndolos en tablas similares a las de SQL para ofrecer una mejor visualización de los datos. Nick Anderson, el ingeniero de seguridad de Facebook que ha realizado el anuncio del lanzamiento de osquery para Windows, ha comentado que su equipo utiliza frecuentemente esta herramienta para reunir información sobre las extensiones de los navegadores utilizados en la red corporativa de la compañía, haciendo más fácil el detectar y eliminar extensiones maliciosas. Las consultas en osquery se realizan de la siguiente manera:
SELECT uid, name FROM listening_ports l, processes p WHERE l.pid=p.pid; SELECT * FROM kernel_extensions WHERE name NOT LIKE 'com.apple.%' AND name != '__kernel__'; SELECT name, path, bundle_version, applescript_enabled FROM apps ; SELECT uid, name FROM listening_ports l, processes p WHERE l.pid=p.pid;
Desde la compañía se sienten orgullosos del crecimiento de osquery como proyecto, además de hacer hincapié en la defensa de una seguridad desde un punto de vista abierto, en contraposición con la “seguridad por la oscuridad”. Antes de llegar a Windows, la herramienta llegó a otros sistemas operativos como Red Hat Enterprise Linux, Debian y FreeBSD, mostrándose actualmente como el proyecto más popular en torno a la seguridad de los publicados en GitHub.
Fuentes | ThreatPost y Softpedia