Ang among cyber defense center mao ang responsable sa seguridad sa mga imprastraktura sa web sa mga kliyente ug gisalikway ang mga pag-atake sa mga site sa kliyente. Gigamit namo ang FortiWeb web application firewalls (WAF) aron mapanalipdan batok sa mga pag-atake. Apan bisan ang labing cool nga WAF dili usa ka panacea ug dili makapanalipod sa gawas sa kahon gikan sa gipunting nga mga pag-atake.
Busa, dugang sa WAF among gigamit . Nakatabang kini sa pagkolekta sa tanan nga mga panghitabo sa usa ka lugar, pagtipon sa mga estadistika, paghanduraw niini ug gitugotan kami nga makita ang usa ka gipunting nga pag-atake sa oras.
Karon isulti ko kanimo sa mas detalyado kung giunsa namo pagtabok ang "Christmas tree" nga adunay WAF ug kung unsa ang migawas niini.
Ang istorya sa usa ka pag-atake: kung giunsa ang tanan nagtrabaho sa wala pa ang pagbalhin sa ELK
Ang kustomer adunay aplikasyon nga gipakatap sa among panganod nga naa sa luyo sa among WAF. Gikan sa 10 ngadto sa 000 ka tiggamit nga konektado sa site kada adlaw, ang gidaghanon sa mga koneksyon miabot sa 100 ka milyon kada adlaw. Niini, 000-20 nga tiggamit ang mga tig-atake ug misulay sa pag-hack sa site.
Gibabagan sa FortiWeb ang naandan nga brute force nga porma gikan sa usa ka IP address nga dali ra. Ang gidaghanon sa mga hit matag minuto sa site mas taas kaysa sa mga lehitimong tiggamit. Nagbutang lang kami og mga threshold sa kalihokan gikan sa usa ka adres ug gisalikway ang pag-atake.
Mas lisud ang pakigbatok sa "hinay nga pag-atake," kung ang mga tig-atake hinay nga molihok ug magtakuban sa ilang kaugalingon nga ordinaryong mga kliyente. Gigamit nila ang daghang talagsaon nga mga adres sa IP. Ang ingon nga kalihokan dili ingon usa ka dako nga brute force sa WAF; mas lisud ang pagsubay niini nga awtomatiko. Adunay usab usa ka peligro nga babagan ang mga normal nga tiggamit. Gipangita namo ang ubang mga timailhan sa usa ka pag-atake ug gi-configure ang usa ka palisiya aron awtomatiko nga babagan ang mga IP address base sa kini nga timaan. Pananglitan, daghang mga dili lehitimo nga mga sesyon ang adunay sagad nga mga natad sa mga ulohan sa hangyo sa HTTP. Kini nga mga natad kanunay kinahanglan nga pangitaon nga mano-mano sa mga log sa panghitabo sa FortiWeb.
Kini nahimo nga dugay ug dili komportable. Sa standard nga FortiWeb functionality, ang mga panghitabo girekord sa text sa 3 ka lain-laing mga log: detected attacks, request information, ug system messages about WAF operation. Ang mga dosena o bisan gatusan nga mga panghitabo sa pag-atake mahimong moabut sa usa ka minuto.
Dili kaayo daghan, apan kinahanglan nimo nga mano-mano ang pagsaka sa daghang mga troso ug pag-uli sa daghang mga linya:
Sa log sa pag-atake atong makita ang mga adres sa tiggamit ug ang kinaiyahan sa kalihokan.
Dili igo ang pag-scan lang sa log table. Aron makit-an ang labing makapaikag ug mapuslanon nga kasayuran bahin sa kinaiya sa pag-atake, kinahanglan nimo nga tan-awon ang sulod sa usa ka piho nga panghitabo:
Ang gipasiugda nga mga natad makatabang sa pag-ila sa usa ka "hinay nga pag-atake". Tinubdan: screenshot gikan sa .
Aw, ang labing hinungdanon nga problema mao nga usa ra ka espesyalista sa FortiWeb ang makahunahuna niini. Samtang sa mga oras sa negosyo mahimo gihapon namon nga ma-monitor ang kadudahang kalihokan sa tinuud nga oras, ang imbestigasyon sa mga insidente sa gabii mahimong magdugay. Kung ang mga palisiya sa FortiWeb wala molihok sa usa ka hinungdan, ang mga inhenyero sa pagbalhin sa gabii nga nag-duty wala makahimo sa pagtimbang-timbang sa kahimtang kung walaβy pag-access sa WAF ug gipukaw ang espesyalista sa FortiWeb. Gisusi namo ang daghang oras sa mga troso ug nakit-an ang higayon sa pag-atake.
Sa ingon nga gidaghanon sa impormasyon, lisud sabton ang dakong hulagway sa unang pagtan-aw ug molihok nga aktibo. Pagkahuman nakahukom kami nga mangolekta og datos sa usa ka lugar aron ma-analisar ang tanan sa usa ka biswal nga porma, pangitaa ang pagsugod sa pag-atake, pag-ila sa direksyon ug pamaagi sa pag-block niini.
Unsa imong gipili?
Una sa tanan, among gitan-aw ang mga solusyon nga gigamit na aron dili modaghan ang mga entidad nga wala kinahanglana.
Usa sa unang mga kapilian mao ang Nagiosnga among gigamit sa pagmonitor , , mga alerto bahin sa mga sitwasyon sa emerhensya. Gigamit usab kini sa mga security guard aron pagpahibalo sa mga opisyal sa katungdanan kung adunay kadudahang trapiko, apan wala kini kahibalo kung giunsa ang pagkolekta sa nagkatag nga mga troso ug busa dili na kinahanglan.
Adunay usa ka kapilian sa pagtipon sa tanan nga gigamit MySQL ug PostgreSQL o uban pang relational database. Apan aron makuha ang datos, kinahanglan nimo nga maghimo imong kaugalingon nga aplikasyon.
Gigamit usab sa among kompanya FortiAnalyzer gikan sa Fortinet. Apan wala usab kini mohaum niini nga kaso. Una, kini mas gipahaum sa pagtrabaho sa usa ka firewall FortiGate. Ikaduha, daghang mga setting ang nawala, ug ang pakig-uban niini nanginahanglan maayo kaayo nga kahibalo sa mga pangutana sa SQL. Ug ikatulo, ang paggamit niini makadugang sa gasto sa serbisyo alang sa kustomer.
Kini mao ang paagi nga kita miabut sa open source sa porma sa osa.
Nganong pilion ang ELK
Ang ELK usa ka set sa open source nga mga programa:
- Elasticsearch - usa ka database sa serye sa oras, nga espesipikong gimugna aron magtrabaho sa daghang mga volume sa teksto;
- Logstash β usa ka mekanismo sa pagkolekta sa datos nga makakabig sa mga troso ngadto sa gusto nga pormat;
- Kibana - usa ka maayo nga visualizer, ingon man usa ka medyo mahigalaon nga interface alang sa pagdumala sa Elasticsearch. Mahimo nimo kini gamiton sa paghimo og mga graph nga ma-monitor sa mga engineer nga nag-duty sa gabii.
Ubos ang entry threshold sa ELK. Ang tanan nga sukaranan nga mga bahin libre. Unsa pa ang gikinahanglan alang sa kalipay?
Giunsa naton kini gihiusa sa usa ka sistema?
Naghimo kami og mga indeks ug nagbilin lamang sa gikinahanglan nga impormasyon. Among gikarga ang tanang tulo ka FortiWEB logs ngadto sa ELK ug ang output kay mga index. Kini ang mga file nga adunay tanan nga nakolekta nga mga troso sa usa ka yugto, pananglitan, usa ka adlaw. Kung makita dayon naton sila, makita ra naton ang dinamika sa mga pag-atake. Alang sa mga detalye, kinahanglan nimo nga "mahulog" sa matag pag-atake ug tan-awon ang piho nga mga natad.
Nakaamgo kami nga kinahanglan una namon nga i-set up ang pag-analisar sa walaβy istruktura nga kasayuran. Gikuha namo ang taas nga mga field sa porma sa mga string, sama sa "Message" ug "URL", ug gi-parse kini aron makakuha og dugang nga impormasyon alang sa paghimo og desisyon.
Pananglitan, gamit ang pag-parse, gilain namon nga giila ang lokasyon sa tiggamit. Nakatabang kini nga ma-highlight dayon ang mga pag-atake gikan sa gawas sa nasud sa mga site alang sa mga tiggamit sa Russia. Pinaagi sa pagbabag sa tanan nga koneksyon gikan sa ubang mga nasud, gipakunhuran namon ang gidaghanon sa mga pag-atake sa katunga ug mahimo nga kalmado nga atubangon ang mga pag-atake sa sulod sa Russia.
Human sa pag-parse, nagsugod kami sa pagpangita kung unsa nga impormasyon ang tipigan ug i-visualize. Dili praktikal nga ibilin ang tanan sa journal: ang gidak-on sa usa ka indeks dako - 7 GB. Nagdugay ang ELK sa pagproseso sa file. Apan, dili tanang impormasyon mapuslanon. Adunay usa ka butang nga nadoble ug mikuha ug dugang nga luna - kini kinahanglan nga ma-optimize.
Sa sinugdan gi-scan lang namo ang indeks ug gitangtang ang wala kinahanglana nga mga panghitabo. Kini nahimo nga labi pa nga dili kombenyente ug mas dugay kaysa pagtrabaho sa mga troso sa FortiWeb mismo. Ang bugtong bentaha sa "Christmas tree" sa niini nga yugto mao nga kita nakahimo sa paghanduraw sa usa ka dako nga yugto sa panahon sa usa ka screen.
Wala kami mawad-an og paglaum, nagpadayon sa pagkaon sa cactus, nagtuon sa ELK ug nagtuo nga makuha namo ang gikinahanglan nga impormasyon. Human sa paglimpyo sa mga indeks, nagsugod kami sa paghanduraw kon unsa ang anaa kanamo. Ingon niini ang among pag-abut sa dagkong mga dashboard. Gisulayan namo ang pipila ka mga widget - biswal ug elegante, usa ka tinuod nga Christmas tree!
Narekord ang gutlo sa pag-atake. Karon kinahanglan namon nga masabtan kung unsa ang hitsura sa pagsugod sa usa ka pag-atake sa graph. Aron mahibal-an kini, among gitan-aw ang mga tubag sa server sa tiggamit (mga kodigo sa pagbalik). Interesado kami sa mga tubag sa server nga adunay mosunod nga mga code (rc):
Kodigo (rc)
Titulo
paghulagway
0
Drop
Ang hangyo sa server gibabagan
200
Ok
Malampuson nga naproseso ang hangyo
400
Dili Maayo nga Pangayo
Dili balido nga hangyo
403
Gidumilian
Ang pagtugot gibalibaran
500
Internal Server Error
Ang serbisyo dili magamit
Kung adunay nagsugod sa pag-atake sa site, ang ratio sa mga code nausab:
- Kung adunay daghang mga sayup nga hangyo nga adunay code 400, apan ang parehas nga gidaghanon sa mga normal nga hangyo nga adunay code 200 nagpabilin, kini nagpasabut nga adunay usa nga naningkamot sa pag-hack sa site.
- Kung sa samang higayon ang mga hangyo nga adunay code 0 usab misaka, nan ang mga politiko sa FortiWeb usab "nakakita" sa pag-atake ug nag-apply sa mga bloke niini.
- Kung ang gidaghanon sa mga mensahe nga adunay code 500 misaka, kini nagpasabut nga ang site dili magamit alang sa kini nga mga adres sa IP - usa usab ka matang sa pag-block.
Sa ikatulo nga bulan, nagbutang kami usa ka dashboard aron masubay ang ingon nga kalihokan.
Aron dili ma-monitor ang tanan nga mano-mano, among gipahimutang ang integrasyon sa Nagios, nga nagsusi sa ELK sa pipila ka mga agwat. Kung nakit-an nako ang mga kantidad sa threshold nga naabot sa mga code, nagpadala ako usa ka pahibalo sa mga opisyal sa katungdanan bahin sa kadudahang kalihokan.
Gihiusa ang 4 nga mga graphic sa sistema sa pag-monitor. Karon importante nga makita sa mga graph ang higayon nga ang pag-atake wala gibabagan ug gikinahanglan ang interbensyon sa usa ka engineer. Sa 4 ka lain-laing mga tsart ang among mga mata blur. Busa, gihiusa namo ang mga tsart ug gisugdan ang pag-monitor sa tanan sa usa ka screen.
Atol sa pag-monitor, among gitan-aw kung giunsa pagbag-o ang mga graph sa lainlaing mga kolor. Ang usa ka pagsabwag sa pula nagpakita nga ang pag-atake nagsugod na, samtang ang orange ug asul nga mga graph nagpakita sa tubag sa FortiWeb:
Maayo ang tanan dinhi: adunay usa ka pagdagsang sa "pula" nga kalihokan, apan gisagubang kini sa FortiWeb ug ang iskedyul sa pag-atake nawala.
Gidrowing usab namo alang sa among kaugalingon ang usa ka pananglitan sa usa ka graph nga nanginahanglan interbensyon:
Dinhi atong makita nga ang FortiWeb nagdugang sa kalihokan, apan ang pula nga atake nga graph wala mokunhod. Kinahanglan nimong usbon ang imong mga setting sa WAF.
Ang pag-imbestigar sa mga insidente sa gabii nahimong mas sayon. Gipakita dayon sa graph ang higayon kung kanus-a na ang panahon aron mapanalipdan ang site.
Mao ni usahay mahitabo sa gabii. Pula nga graph - nagsugod na ang pag-atake. Asul - kalihokan sa FortiWeb. Ang pag-atake wala hingpit nga gibabagan, mao nga kinahanglan kong mangilabot.
Asa ta padulong?
Kami karon nagbansay sa mga tigdumala sa katungdanan aron magtrabaho kauban ang ELK. Ang mga naa sa katungdanan nakakat-on sa pagtimbang-timbang sa sitwasyon sa dashboard ug paghimo og desisyon: panahon na nga mosangko sa usa ka espesyalista sa FortiWeb, o ang mga polisiya sa WAF igo na aron awtomatiko nga masalikway ang usa ka pag-atake. Niining paagiha atong maminusan ang karga sa mga inhenyero sa seguridad sa impormasyon sa gabii ug gibahin ang mga tahas sa suporta sa lebel sa sistema. Ang pag-access sa FortiWeb nagpabilin lamang sa cyber defense center, ug sila ra ang naghimog mga pagbag-o sa mga setting sa WAF kung kinahanglan gyud.
Nagtrabaho usab kami sa pagreport alang sa mga kustomer. Nagplano kami nga ang datos sa dinamika sa operasyon sa WAF mahimong magamit sa personal nga account sa kliyente. Himuon sa ELK nga mas transparent ang sitwasyon nga dili kinahanglan nga kontakon ang WAF mismo.
Kung gusto sa kustomer nga bantayan ang ilang proteksyon sa tinuud nga oras, magamit usab ang ELK. Dili kami makahatag ug access sa WAF, tungod kay ang pagpanghilabot sa kustomer sa trabaho mahimong makaapekto sa uban. Apan mahimo nimong kuhaon ang usa ka lahi nga ELK ug ihatag kini sa "pagdula".
Mao kini ang mga senaryo sa paggamit sa βChristmas treeβ nga atong natigom karong bag-o. Ipaambit ang imong mga ideya bahin niini nga butang ug ayaw kalimti aron malikayan ang mga pagtagas sa database.
Source: www.habr.com