ELK የደህንነት መሐንዲሶች የድር ጣቢያ ጥቃቶችን እንዲዋጉ እና በሰላም እንዲተኛ እንዴት እንደሚረዳቸው

የእኛ የሳይበር መከላከያ ማእከል ለደንበኞች የድር መሠረተ ልማት ደህንነት ኃላፊነት አለበት እና በደንበኛ ጣቢያዎች ላይ የሚደርሱ ጥቃቶችን ያስወግዳል። ጥቃትን ለመከላከል FortiWeb የድር መተግበሪያ ፋየርዎል (WAF) እንጠቀማለን። ነገር ግን በጣም ቀዝቃዛው WAF እንኳን መድሃኒት አይደለም እና ከሳጥኑ ውስጥ ከተነጣጠሩ ጥቃቶች አይከላከልም. 

ስለዚህ, ከ WAF በተጨማሪ እንጠቀማለን ወ.ዘ.ተ.. ሁሉንም ክስተቶች በአንድ ቦታ ለመሰብሰብ ይረዳል, ስታቲስቲክስ ያከማቻል, በዓይነ ሕሊናዎ ይመለከታቸዋል እና የታለመ ጥቃትን በጊዜ ውስጥ እንድናይ ያስችለናል.

ዛሬ "የገናን ዛፍ" በ WAF እንዴት እንደተሻገርን እና ከእሱ ምን እንደወጣን በበለጠ ዝርዝር እነግርዎታለሁ.

የአንድ ጥቃት ታሪክ: ወደ ELK ከመሸጋገሩ በፊት ሁሉም ነገር እንዴት እንደሚሰራ

ደንበኛው ከ WAF በስተጀርባ ያለው በእኛ ደመና ውስጥ የተዘረጋ መተግበሪያ አለው። በቀን ከ 10 እስከ 000 ተጠቃሚዎች ከጣቢያው ጋር የተገናኙ, የግንኙነቶች ብዛት በቀን 100 ሚሊዮን ደርሷል. ከእነዚህ ውስጥ 000-20 ተጠቃሚዎች አጥቂዎች ነበሩ እና ጣቢያውን ለመጥለፍ ሞክረዋል ። 

FortiWeb የተለመደውን የብሬት ሃይል ቅጽ ከአንድ አይፒ አድራሻ በቀላሉ አግዶታል። በየደቂቃው ወደ ጣቢያው የሚደርሱ ተወዳጅ ተጠቃሚዎች ከህጋዊ ተጠቃሚዎች የበለጠ ነበር። በቀላሉ ከአንድ አድራሻ የእንቅስቃሴ ገደቦችን አዘጋጅተናል እና ጥቃቱን መልሰናል።

አጥቂዎች ቀስ ብለው እርምጃ ሲወስዱ እና እራሳቸውን እንደ ተራ ደንበኛ ሲመስሉ “ቀስ ያሉ ጥቃቶችን” መዋጋት በጣም ከባድ ነው። ብዙ ልዩ የአይፒ አድራሻዎችን ይጠቀማሉ። እንዲህ ዓይነቱ እንቅስቃሴ ለዋፍ ትልቅ የጭካኔ ኃይል አይመስልም ነበር፣ እሱን በራስ ሰር መከታተል የበለጠ ከባድ ነበር። መደበኛ ተጠቃሚዎችን የማገድ አደጋም ነበር። ሌሎች የጥቃት ምልክቶችን ፈልገን በዚህ ምልክት ላይ በመመስረት የአይፒ አድራሻዎችን በራስ ሰር ለማገድ ፖሊሲ አዋቀርን። ለምሳሌ፣ ብዙ ህጋዊ ያልሆኑ ክፍለ ጊዜዎች በኤችቲቲፒ ጥያቄ ራስጌዎች ውስጥ የጋራ መስኮች ነበሯቸው። እነዚህ መስኮች ብዙውን ጊዜ በFortiWeb ክስተት ምዝግብ ማስታወሻዎች ውስጥ በእጅ መፈለግ ነበረባቸው። 

ረጅም እና የማይመች ሆኖ ተገኘ። በመደበኛ የFortiWeb ተግባራዊነት፣ክስተቶች በጽሁፍ በ3 የተለያዩ ምዝግብ ማስታወሻዎች ይመዘገባሉ፡የተገኙ ጥቃቶች፣የጥያቄ መረጃ እና የስርዓት መልዕክቶች ስለ WAF ክወና። በደርዘን የሚቆጠሩ ወይም በመቶዎች የሚቆጠሩ የጥቃት ክስተቶች በደቂቃ ውስጥ ሊደርሱ ይችላሉ።

ብዙ አይደለም፣ ነገር ግን እራስዎ በበርካታ ምዝግቦች ውስጥ መውጣት እና በብዙ መስመሮች መድገም አለብዎት። 

በጥቃቱ መዝገብ ውስጥ የተጠቃሚ አድራሻዎችን እና የእንቅስቃሴውን ባህሪ እንመለከታለን. 
 
የሎግ ጠረጴዛውን በቀላሉ መፈተሽ ብቻ በቂ አይደለም. ስለ ጥቃቱ ምንነት በጣም አስደሳች እና ጠቃሚ መረጃን ለማግኘት በአንድ የተወሰነ ክስተት ውስጥ መመልከት ያስፈልግዎታል፡-

የደመቁት መስኮች "ቀርፋፋ ጥቃት" ለመለየት ይረዳሉ. ምንጭ፡ ቅጽበታዊ ገጽ እይታ ከ Fortinet ድር ጣቢያ. 

ደህና፣ በጣም አስፈላጊው ችግር ይህንን ማወቅ የሚችለው የፎርቲዌብ ልዩ ባለሙያተኛ ብቻ ነው። በስራ ሰአታት ውስጥ አጠራጣሪ እንቅስቃሴዎችን በቅጽበት መከታተል ብንችልም፣ በምሽት ጊዜ የተከሰቱ ክስተቶች ምርመራው ረዘም ያለ ጊዜ ሊወስድ ይችላል። የፎርቲዌብ ፖሊሲዎች በሆነ ምክንያት ሳይሰሩ ሲቀሩ፣ በሥራ ላይ ያሉት የምሽት ፈረቃ መሐንዲሶች WAFን ሳያገኙ ሁኔታውን መገምገም አልቻሉም እና የፎርቲዌብ ልዩ ባለሙያተኞችን ቀሰቀሱ። ለብዙ ሰዓታት ያህል የምዝግብ ማስታወሻዎችን ተመልክተናል እና የጥቃቱን ጊዜ አግኝተናል። 

በእንደዚህ ዓይነት የመረጃ ብዛቶች ፣ በመጀመሪያ እይታ ትልቁን ምስል ለመረዳት እና በንቃት ለመስራት አስቸጋሪ ነው። ከዚያም ሁሉንም ነገር በእይታ መልክ ለመተንተን ፣ የጥቃቱን መጀመሪያ ለማግኘት ፣ አቅጣጫውን እና የማገድ ዘዴውን ለመለየት በአንድ ቦታ ላይ መረጃ ለመሰብሰብ ወሰንን ። 

ከምን መረጥክ?

በመጀመሪያ ደረጃ, አካላትን ሳያስፈልግ እንዳይባዙ ቀድሞውኑ ጥቅም ላይ የዋሉ መፍትሄዎችን ተመልክተናል.

ከመጀመሪያዎቹ አማራጮች አንዱ ነበር ናጋዮስለክትትል የምንጠቀመው የምህንድስና መሠረተ ልማት, የአውታረ መረብ መሠረተ ልማት, ስለ ድንገተኛ ሁኔታዎች ማንቂያዎች. የደህንነት ጠባቂዎች አጠራጣሪ ትራፊክ በሚፈጠርበት ጊዜ ለግዳጅ ኦፊሰሮች ለማሳወቅ ይጠቀሙበታል ነገር ግን የተበታተኑ ምዝግቦችን እንዴት እንደሚሰበስብ ስለማያውቅ ከአሁን በኋላ አያስፈልግም. 

በመጠቀም ሁሉንም ነገር የመደመር አማራጭ ነበር። MySQL እና PostgreSQL ወይም ሌላ ተዛማጅ የውሂብ ጎታ. ነገር ግን ውሂብ ለማውጣት የራስዎን መተግበሪያ መፍጠር አለብዎት. 

ድርጅታችንም ይጠቀማል ፎርቲአናሊዘር ከፎርቲኔት። ነገር ግን በዚህ ጉዳይ ላይም አልገባም. በመጀመሪያ ፣ ከፋየርዎል ጋር ለመስራት የበለጠ የተበጀ ነው። ፎርቲጌት. በሁለተኛ ደረጃ፣ ብዙ ቅንጅቶች ጠፍተዋል፣ እና ከእሱ ጋር ያለው መስተጋብር ስለ SQL መጠይቆች ጥሩ እውቀትን ይፈልጋል። እና በሶስተኛ ደረጃ, አጠቃቀሙ ለደንበኛው የአገልግሎቱን ዋጋ ይጨምራል.   

በ መልክ ምንጭ ለመክፈት የመጣነው በዚህ መንገድ ነው። ወ.ዘ.ተ.. 

ለምን ELK ን ይምረጡ 

ELK የክፍት ምንጭ ፕሮግራሞች ስብስብ ነው፡-

• Elasticsearch - ከትላልቅ የጽሑፍ ጥራዞች ጋር ለመስራት በተለይ የተፈጠረ የጊዜ ተከታታይ የውሂብ ጎታ;
• Logstash - የምዝግብ ማስታወሻዎችን ወደ ተፈላጊው ቅርጸት ለመለወጥ የሚያስችል የመረጃ አሰባሰብ ዘዴ; 
• ኪያና - ጥሩ ምስላዊ ፣ እንዲሁም Elasticsearchን ለማስተዳደር በጣም ተስማሚ የሆነ በይነገጽ። በሥራ ላይ ያሉ መሐንዲሶች በምሽት የሚቆጣጠሩትን ግራፎች ለመሥራት ሊጠቀሙበት ይችላሉ. 

ወደ ELK የመግቢያ ገደብ ዝቅተኛ ነው። ሁሉም መሰረታዊ ባህሪያት ነጻ ናቸው. ለደስታ ሌላ ምን ያስፈልጋል?

ሁሉንም ወደ አንድ ነጠላ ሥርዓት እንዴት አቀናጅተን?

ኢንዴክሶችን ፈጠርን እና አስፈላጊውን መረጃ ብቻ ትተናል. ሶስቱንም የFortiWEB ምዝግብ ማስታወሻዎች ወደ ELK ጫንናቸው እና ውጤቱ ኢንዴክሶች ነበር። እነዚህ ለተወሰነ ጊዜ፣ ለምሳሌ፣ ለአንድ ቀን ሁሉም የተሰበሰቡ ምዝግብ ማስታወሻዎች ያላቸው ፋይሎች ናቸው። ወዲያውኑ በዓይነ ሕሊናቸው ካየናቸው የጥቃቶቹን ተለዋዋጭነት ብቻ ነው የምናየው። ለዝርዝሮች በእያንዳንዱ ጥቃት ውስጥ "መውደቅ" እና የተወሰኑ መስኮችን መመልከት ያስፈልግዎታል.

በመጀመሪያ ደረጃ ያልተዋቀሩ መረጃዎችን ትንተና ማዘጋጀት እንዳለብን ተገነዘብን. እንደ "መልዕክት" እና "ዩአርኤል" በመሳሰሉት በሕብረቁምፊዎች መልክ ረጃጅም መስኮችን ወስደን ለውሳኔ አሰጣጥ ተጨማሪ መረጃ ለማግኘት ተንትነናል። 

ለምሳሌ፣ መተንተንን በመጠቀም የተጠቃሚውን ቦታ ለይተናል። ይህ ለሩስያ ተጠቃሚዎች በጣቢያዎች ላይ ከውጭ የሚመጡ ጥቃቶችን ወዲያውኑ ለማጉላት ረድቷል. ከሌሎች አገሮች የሚመጡትን ሁሉንም ግንኙነቶች በመዝጋት ጥቃቱን በግማሽ ቀንሰን በሩሲያ ውስጥ የሚደረጉ ጥቃቶችን በእርጋታ መቋቋም እንችላለን። 

ከተተነተነ በኋላ ምን አይነት መረጃ ማከማቸት እና ማየት እንዳለብን መፈለግ ጀመርን። ሁሉንም ነገር በመጽሔቱ ውስጥ መተው የማይቻል ነበር: የአንድ ኢንዴክስ መጠን ትልቅ ነበር - 7 ጂቢ. ELK ፋይሉን ለማስኬድ ረጅም ጊዜ ወስዷል። ሆኖም ግን, ሁሉም መረጃዎች ጠቃሚ አልነበሩም. የሆነ ነገር ተባዝቷል እና ተጨማሪ ቦታ ወሰደ - ማመቻቸት ነበረበት። 

መጀመሪያ ላይ በቀላሉ መረጃ ጠቋሚውን ቃኘን እና አላስፈላጊ ክስተቶችን አስወግደናል። ይህ በራሱ በFortiWeb ላይ በምዝግብ ማስታወሻዎች ከመስራት የበለጠ የማይመች እና ረዘም ያለ ሆኖ ተገኝቷል። በዚህ ደረጃ ላይ ያለው "የገና ዛፍ" ብቸኛው ጥቅም በአንድ ማያ ገጽ ላይ ትልቅ ጊዜን ለመመልከት መቻላችን ነው. 

ተስፋ አልቆረጥንም ፣ ቁልቋል መብላታችንን ቀጠልን ፣ ኤልኬን አጥንተን አስፈላጊውን መረጃ ማውጣት እንደምንችል አምነን ነበር። ኢንዴክሶቹን ካጸዳን በኋላ ያለንን ነገር በዓይነ ሕሊናህ መመልከት ጀመርን። ወደ ትላልቅ ዳሽቦርዶች የመጣነው በዚህ መንገድ ነው። አንዳንድ መግብሮችን ሞክረናል - በእይታ እና በሚያምር ሁኔታ ፣ እውነተኛ የገና ዛፍ! 

የጥቃቱ ጊዜ ተመዝግቧል. አሁን በግራፉ ላይ የጥቃት መጀመሪያ ምን እንደሚመስል መረዳት አለብን። እሱን ለማግኘት፣ አገልጋዩ ለተጠቃሚው የሚሰጠውን ምላሽ ተመልክተናል (የመመለሻ ኮዶች)። በሚከተለው ኮድ (rc) የአገልጋይ ምላሾችን እንፈልጋለን። 

ኮድ (አር.ሲ.)

ርዕስ

መግለጫ

0

ይዝጉ

የአገልጋዩ ጥያቄ ታግዷል

200

Ok

ጥያቄ በተሳካ ሁኔታ ተካሂዷል

400

ወድቅ ጥያቄ

ልክ ያልሆነ ጥያቄ

403

የተከለከለ

ፍቃድ ተከልክሏል።

500

የውስጥ መቆጣጠርያ ችግር

አገልግሎት አይገኝም

አንድ ሰው ጣቢያውን ማጥቃት ከጀመረ የኮዶች ጥምርታ ተቀይሯል፡- 

• በቁጥር 400 ተጨማሪ የተሳሳቱ ጥያቄዎች ከነበሩ፣ ነገር ግን ኮድ 200 ያለው ተመሳሳይ ቁጥር ያላቸው መደበኛ ጥያቄዎች ከቀሩ፣ አንድ ሰው ጣቢያውን ለመጥለፍ እየሞከረ ነበር ማለት ነው። 
• በተመሳሳይ ጊዜ በ ኮድ 0 የሚጠየቁ ጥያቄዎች ከጨመሩ የፎርቲዌብ ፖለቲከኞች ጥቃቱን “አይተው” በእሱ ላይ እገዳዎችን ተገበሩ። 
• ኮድ 500 ያላቸው የመልእክቶች ብዛት ከጨመረ ጣቢያው ለእነዚህ አይፒ አድራሻዎች አይገኝም ማለት ነው - እንዲሁም እንደ ማገድ አይነት። 

በሦስተኛው ወር እንዲህ ያለውን እንቅስቃሴ ለመከታተል ዳሽቦርድ አዘጋጅተናል።

ሁሉንም ነገር በእጅ ላለመከታተል፣ ከናጊዮስ ጋር ውህደቱን አዘጋጅተናል፣ እሱም ELKን በተወሰኑ ክፍተቶች ላይ ጠየቀ። በኮዶች የሚደርሱ የመነሻ ዋጋዎችን ካገኘሁ፣ ስለ አጠራጣሪ እንቅስቃሴ ማስታወቂያ ለግዳጅ መኮንኖች ልኬ ነበር። 

በክትትል ስርዓት ውስጥ 4 ግራፊክስ ጥምር. አሁን ጥቃቱ ያልተዘጋበት እና የኢንጂነር ጣልቃገብነት በሚያስፈልግበት ጊዜ በግራፎች ላይ ማየት አስፈላጊ ነበር. በ4 የተለያዩ ገበታዎች ላይ ዓይኖቻችን ደበዘዙ። ስለዚህ, ሰንጠረዦቹን አጣምረን እና ሁሉንም ነገር በአንድ ማያ ገጽ ላይ መከታተል ጀመርን.

በክትትል ወቅት፣ የተለያየ ቀለም ያላቸው ግራፎች እንዴት እንደሚለወጡ ተመልክተናል። የቀይ ግርዶሽ ጥቃቱ መጀመሩን ያሳያል፣ ብርቱካንማ እና ሰማያዊ ግራፎች ደግሞ የፎርቲዌብ ምላሽን ያሳያሉ፡-

እዚህ ሁሉም ነገር ደህና ነው፡ የ"ቀይ" እንቅስቃሴ በዝቶ ነበር፣ ነገር ግን ፎርቲዌብ ችግሩን ተቋቁሞ የጥቃት መርሃ ግብሩ ከንቱ ሆነ።

እንዲሁም ጣልቃ የሚያስፈልገው የግራፍ ምሳሌ ለራሳችን ሳብን፦

እዚህ FortiWeb እንቅስቃሴን እንደጨመረ እናያለን, ነገር ግን የቀይ ጥቃት ግራፍ አልቀነሰም. የ WAF ቅንብሮችዎን መለወጥ ያስፈልግዎታል።

የምሽት ክስተቶችን መመርመርም ቀላል ሆኗል። ግራፉ ጣቢያውን ለመጠበቅ የሚመጣበትን ጊዜ ወዲያውኑ ያሳያል። 

አንዳንድ ጊዜ በሌሊት የሚከሰት ይህ ነው። ቀይ ግራፍ - ጥቃቱ ተጀምሯል. ሰማያዊ - FortiWeb እንቅስቃሴ. ጥቃቱ ሙሉ በሙሉ አልተዘጋም, ስለዚህ ጣልቃ መግባት ነበረብኝ.

ወዴት እያመራን ነው?

በአሁኑ ጊዜ የግዴታ አስተዳዳሪዎች ከኤልኬ ጋር እንዲሰሩ እያሰለጠንን ነው። በስራ ላይ ያሉ ሰዎች በዳሽቦርዱ ላይ ያለውን ሁኔታ ለመገምገም እና ውሳኔ ለመወሰን ይማራሉ፡ ወደ FortiWeb ስፔሻሊስት ለማደግ ጊዜው አሁን ነው, ወይም በ WAF ላይ ያሉት ፖሊሲዎች ጥቃቱን በራስ-ሰር ለመቋቋም በቂ ናቸው. በዚህ መንገድ በምሽት የመረጃ ደህንነት መሐንዲሶች ላይ ያለውን ጫና እንቀንሳለን እና የድጋፍ ሚናዎችን በስርዓት ደረጃ እንከፋፍላለን። የFortiWeb መዳረሻ በሳይበር መከላከያ ማእከል ብቻ ይቀራል፣ እና እነሱ ብቻ በWAF ቅንብሮች ላይ በጣም አስፈላጊ ሲሆኑ ለውጦችን ያደርጋሉ።

ለደንበኞች ሪፖርት ለማድረግም እየሰራን ነው። በ WAF አሠራር ተለዋዋጭነት ላይ ያለ መረጃ በደንበኛው የግል መለያ ውስጥ እንደሚገኝ አቅደናል። ELK እራሱን WAF ሳያገኝ ሁኔታውን የበለጠ ግልጽ ያደርገዋል።

ደንበኛው የእነሱን ጥበቃ በቅጽበት መከታተል ከፈለገ፣ ELK እንዲሁ ጠቃሚ ይሆናል። በስራው ውስጥ የደንበኞች ጣልቃገብነት ሌሎችን ሊጎዳ ስለሚችል የ WAF መዳረሻን መስጠት አንችልም። ነገር ግን የተለየ ELK መውሰድ እና "ለመጫወት" መስጠት ይችላሉ. 

በቅርብ ጊዜ ያከማቻልን "የገና ዛፍ" ለመጠቀም እነዚህ ሁኔታዎች ናቸው. በዚህ ጉዳይ ላይ ሃሳቦችዎን ያካፍሉ እና አይርሱ ሁሉንም ነገር በትክክል ያዋቅሩየውሂብ ጎታ መፍሰስን ለማስወገድ. 

ምንጭ: hab.com