Ons kuberverdedigingsentrum is verantwoordelik vir die sekuriteit van kliënte se webinfrastruktuur en stoot aanvalle op kliëntewebwerwe af. Ons gebruik FortiWeb-webtoepassing-firewalls (WAF) om teen aanvalle te beskerm. Maar selfs die coolste WAF is nie 'n wondermiddel nie en beskerm nie uit die boks teen geteikende aanvalle nie.
Daarom, bykomend tot WAF gebruik ons . Dit help om alle gebeurtenisse op een plek te versamel, versamel statistieke, visualiseer dit en stel ons in staat om 'n geteikende aanval betyds te sien.
Vandag sal ek jou in meer besonderhede vertel hoe ons die "Kersboom" met WAF gekruis het en wat daaruit gekom het.
Die storie van een aanval: hoe alles gewerk het voor die oorgang na ELK
Die kliënt het 'n toepassing wat in ons wolk ontplooi is wat agter ons WAF is. Van 10 000 tot 100 000 gebruikers wat per dag aan die webwerf gekoppel is, het die aantal verbindings 20 miljoen per dag bereik. Hiervan was 3-5 gebruikers aanvallers en het probeer om die webwerf te hack.
FortiWeb het die gewone brute force-vorm redelik maklik vanaf een IP-adres geblokkeer. Die aantal treffers per minuut na die webwerf was hoër as dié van wettige gebruikers. Ons het bloot aktiwiteitsdrempels vanaf een adres gestel en die aanval afgeweer.
Dit is baie moeiliker om "stadige aanvalle" te bekamp wanneer aanvallers stadig optree en hulself as gewone kliënte vermom. Hulle gebruik baie unieke IP-adresse. Sulke aktiwiteit het vir WAF nie soos 'n massiewe brute krag gelyk nie; dit was moeiliker om dit outomaties op te spoor. Daar was ook 'n risiko om normale gebruikers te blokkeer. Ons het na ander tekens van 'n aanval gesoek en 'n beleid opgestel om IP-adresse outomaties te blokkeer op grond van hierdie teken. Byvoorbeeld, baie onwettige sessies het algemene velde in die HTTP-versoekopskrifte gehad. Hierdie velde moes dikwels met die hand in FortiWeb-gebeurtenisloglêers deursoek word.
Dit het lank en ongemaklik uitgedraai. In standaard FortiWeb-funksionaliteit word gebeurtenisse in teks in 3 verskillende logs aangeteken: bespeurde aanvalle, versoekinligting en stelselboodskappe oor WAF-werking. Tientalle of selfs honderde aanvalgebeurtenisse kan binne 'n minuut aanbreek.
Nie so baie nie, maar jy moet met die hand deur verskeie stompe klim en deur baie lyne herhaal:
In die aanvallogboek sien ons gebruikersadresse en die aard van aktiwiteit.
Dit is nie genoeg om bloot die logtabel te skandeer nie. Om die interessantste en nuttigste inligting oor die aard van die aanval te vind, moet jy binne 'n spesifieke gebeurtenis kyk:
Die uitgeligte velde help om 'n "stadige aanval" op te spoor. Bron: skermkiekie van .
Wel, die belangrikste probleem is dat slegs 'n FortiWeb-spesialis dit kan uitvind. Terwyl ons gedurende besigheidsure steeds verdagte aktiwiteite intyds kon monitor, kan die ondersoek na nagtydse voorvalle langer neem. Toe FortiWeb-polisse om een of ander rede nie gewerk het nie, kon die nagskof-ingenieurs aan diens nie die situasie beoordeel sonder toegang tot die WAF nie en het die FortiWeb-spesialis wakker gemaak. Ons het etlike ure se logs deurgekyk en die oomblik van die aanval gevind.
Met sulke volumes inligting is dit moeilik om die groot prentjie met die eerste oogopslag te verstaan en proaktief op te tree. Toe het ons besluit om data op een plek in te samel om alles in 'n visuele vorm te ontleed, die begin van die aanval te vind, die rigting en metode van blokkering te identifiseer.
Waaruit het jy gekies?
Eerstens het ons gekyk na die oplossings wat reeds in gebruik is om nie entiteite onnodig te vermenigvuldig nie.
Een van die eerste opsies was Nagioswat ons vir monitering gebruik , , waarskuwings oor noodsituasies. Sekuriteitswagte gebruik dit ook om diensbeamptes in kennis te stel in geval van verdagte verkeer, maar dit weet nie hoe om verspreide stompe te versamel nie en is dus nie meer nodig nie.
Daar was 'n opsie om alles saam te voeg MySQL en PostgreSQL of ander relasionele databasis. Maar om data uit te trek, moes jy jou eie toepassing skep.
Ons maatskappy gebruik ook Forti Analyzer van Fortinet. Maar dit het ook nie in hierdie geval gepas nie. Eerstens is dit meer aangepas om met 'n firewall te werk FortiGate. Tweedens het baie instellings ontbreek, en interaksie daarmee het uitstekende kennis van SQL-navrae vereis. En derdens sal die gebruik daarvan die koste van die diens vir die kliënt verhoog.
Dit is hoe ons by open source gekom het in die vorm van ELK.
Hoekom ELK kies
ELK is 'n stel oopbronprogramme:
- Elasticsearch – 'n tydreeksdatabasis, wat spesifiek geskep is om met groot volumes teks te werk;
- logstash – ’n data-insamelingsmeganisme wat logs in die verlangde formaat kan omskakel;
- kibana – 'n goeie visualiseerder, sowel as 'n redelik vriendelike koppelvlak vir die bestuur van Elasticsearch. Jy kan dit gebruik om grafieke te bou wat ingenieurs aan diens snags kan monitor.
Die toegangsdrempel tot ELK is laag. Alle basiese kenmerke is gratis. Wat is nog nodig vir geluk?
Hoe het ons dit alles in 'n enkele stelsel saamgevoeg?
Ons het indekse geskep en net die nodige inligting gelaat. Ons het al drie FortiWEB-logboeke in ELK gelaai en die uitset was indekse. Dit is lêers met alle versamelde logs vir 'n tydperk, byvoorbeeld 'n dag. As ons hulle dadelik gevisualiseer het, sou ons net die dinamika van die aanvalle sien. Vir besonderhede moet jy in elke aanval "val" en na spesifieke velde kyk.
Ons het besef dat ons eers die ontleding van ongestruktureerde inligting moet opstel. Ons het lang velde in die vorm van stringe geneem, soos "Boodskap" en "URL", en dit ontleed om meer inligting vir besluitneming te kry.
Byvoorbeeld, met behulp van ontleding het ons die gebruiker se ligging afsonderlik geïdentifiseer. Dit het gehelp om aanvalle uit die buiteland op webwerwe vir Russiese gebruikers onmiddellik uit te lig. Deur alle verbindings van ander lande te blokkeer, het ons die aantal aanvalle met die helfte verminder en kon ons aanvalle binne Rusland rustig hanteer.
Na ontleding het ons begin soek na watter inligting om te stoor en te visualiseer. Dit was onprakties om alles in die joernaal te laat: die grootte van een indeks was groot - 7 GB. ELK het lank geneem om die lêer te verwerk. Nie al die inligting was egter nuttig nie. Iets is gedupliseer en het ekstra spasie in beslag geneem – dit moes geoptimaliseer word.
Ons het eers eenvoudig die indeks geskandeer en onnodige gebeurtenisse verwyder. Dit blyk selfs meer ongerieflik en langer te wees as om met logs op FortiWeb self te werk. Die enigste voordeel van die “Kersboom” op hierdie stadium is dat ons 'n groot tydperk op een skerm kon visualiseer.
Ons het nie moedeloos geword nie, aanhou kaktus eet, ELK bestudeer en geglo dat ons die nodige inligting sou kon onttrek. Nadat ons die indekse skoongemaak het, het ons begin visualiseer wat ons gehad het. Dit is hoe ons by groot dashboards uitgekom het. Ons het 'n paar widgets probeer - visueel en elegant, 'n regte Kersboom!
Die oomblik van die aanval is aangeteken. Nou moes ons verstaan hoe die begin van 'n aanval op die grafiek lyk. Om dit op te spoor, het ons gekyk na die bediener se antwoorde aan die gebruiker (terugstuurkodes). Ons was geïnteresseerd in bedienerantwoorde met die volgende kodes (rc):
Kode (rc)
Naam
Beskrywing
0
DROP
Die versoek aan die bediener is geblokkeer
200
Ok
Versoek suksesvol verwerk
400
Slegte versoek
Ongeldige Versoek
403
Verbode
Magtiging geweier
500
Interne server fout
Diens is nie beskikbaar nie
As iemand die werf begin aanval het, het die verhouding van kodes verander:
- As daar meer foutiewe versoeke met kode 400 was, maar dieselfde aantal normale versoeke met kode 200 oorgebly het, beteken dit iemand het probeer om die webwerf te hack.
- As versoeke met kode 0 terselfdertyd ook toegeneem het, dan het FortiWeb-politici ook die aanval “gesien” en blokke daarop toegepas.
- As die aantal boodskappe met kode 500 toegeneem het, beteken dit dat die webwerf nie vir hierdie IP-adresse beskikbaar is nie - ook 'n soort blokkering.
Teen die derde maand het ons 'n dashboard opgestel om sulke aktiwiteit op te spoor.
Om nie alles met die hand te monitor nie, het ons integrasie met Nagios opgestel, wat ELK met sekere tussenposes gepols het. As ek drempelwaardes opgespoor het wat deur kodes bereik is, het ek 'n kennisgewing aan die diensbeamptes gestuur oor verdagte aktiwiteite.
Gekombineer 4 grafika in die moniteringstelsel. Nou was dit belangrik om op die grafieke die oomblik te sien wanneer die aanval nie geblokkeer is nie en 'n ingenieur se ingryping nodig was. Op 4 verskillende kaarte was ons oë wasig. Daarom het ons die kaarte gekombineer en alles op een skerm begin monitor.
Tydens monitering het ons gekyk hoe grafieke van verskillende kleure verander. ’n Spatsel rooi het getoon dat die aanval begin het, terwyl oranje en blou grafieke FortiWeb se reaksie gewys het:
Alles is goed hier: daar was 'n oplewing van "rooi" aktiwiteit, maar FortiWeb het dit hanteer en die aanvalskedule het tot niet gekom.
Ons het ook vir onsself 'n voorbeeld geteken van 'n grafiek wat ingryping vereis:
Hier sien ons dat FortiWeb aktiwiteit verhoog het, maar die rooi aanvalgrafiek het nie afgeneem nie. Jy moet jou WAF-instellings verander.
Om nagvoorvalle te ondersoek het ook makliker geword. Die grafiek toon onmiddellik die oomblik wanneer dit tyd is om die terrein te beskerm.
Dit is wat soms in die nag gebeur. Rooi grafiek – die aanval het begin. Blou – FortiWeb-aktiwiteit. Die aanval was nie heeltemal geblokkeer nie, so ek moes ingryp.
Waarheen is ons op pad?
Ons lei tans diensadministrateurs op om met ELK te werk. Diegene aan diens leer om die situasie op die paneelbord te assesseer en 'n besluit te neem: dit is tyd om na 'n FortiWeb-spesialis te eskaleer, of die beleide oor die WAF is genoeg om 'n aanval outomaties af te weer. Op hierdie manier verminder ons die las op inligtingsekuriteitsingenieurs in die nag en verdeel ondersteuningsrolle op stelselvlak. Toegang tot FortiWeb bly slegs by die kuberverdedigingsentrum, en slegs hulle maak veranderinge aan WAF-instellings wanneer dit absoluut noodsaaklik is.
Ons werk ook aan verslagdoening vir kliënte. Ons beplan dat data oor die dinamika van WAF-werking in die kliënt se persoonlike rekening beskikbaar sal wees. ELK sal die situasie meer deursigtig maak sonder om die WAF self te kontak.
As die kliënt hul beskerming intyds wil monitor, sal ELK ook handig te pas kom. Ons kan nie toegang tot WAF weggee nie, aangesien klantinmenging in die werk ander kan beïnvloed. Maar jy kan 'n aparte ELK optel en dit gee om mee te "speel".
Dit is die scenario's vir die gebruik van die "Kersboom" wat ons onlangs opgehoop het. Deel jou idees oor hierdie saak en moenie vergeet nie databasislekkasies te vermy.
Bron: will.com