U nostru centru di difesa cibernetica hè rispunsevule per a sicurità di l'infrastruttura web di i clienti è repelle l'attacchi à i siti di i clienti. Per pruteggiri contr'à attacchi, avemu aduprà FortiWeb Web Application Firewalls (WAFs). Ma ancu u più cool WAF ùn hè micca una panacea è ùn pruteghja micca "fora di scatula" da attacchi mirati.
Dunque, in più di WAF, avemu usatu . Aiuta à cullà tutti l'avvenimenti in un locu, accumula statistiche, li visualizeghja è ci permette di vede un attaccu miratu in u tempu.
Oghje vi dicu in più dettagliu cumu avemu attraversatu l'"arbre di Natale" cù WAF è ciò chì hè surtitu.
A storia di un attaccu: cumu tuttu hà travagliatu prima di passà à ELK
In u nostru nuvulu, u cliente hà implementatu l'applicazione daretu à u nostru WAF. Da 10 000 à 100 000 utilizatori cunnessi à u situ per ghjornu, u numeru di cunnessione hà righjuntu 20 milioni per ghjornu. Di questi, l'utilizatori 3-5 eranu intrusi è anu pruvatu à pirate u situ.
A forma abituale di forza bruta da un indirizzu IP hè stata bluccata da FortiWeb abbastanza facilmente. U numaru di hits à u situ per minutu era più altu ch'è quellu di l'utilizatori legittimi. Semu simpricimenti stabilitu soglie di attività da un indirizzu è respunsemu l'attaccu.
Hè assai più difficiuli di trattà cù "attacchi lenti", quandu l'attaccanti agisce lentamente è si disguise cum'è clienti ordinali. Adupranu assai indirizzi IP unichi. Tale attività ùn pareva micca una forza bruta massiva à WAF, era più difficiule di seguità automaticamente. Ci era ancu u risicu di bluccà l'utilizatori normali. Avemu cercatu altri signali di un attaccu è hà stabilitu una pulitica per bluccà automaticamente l'indirizzi IP basatu annantu à questu signu. Per esempiu, assai sessioni illegittimi avianu campi cumuni in l'intestazione di dumanda http. Questi campi sò spessu devenu esse cercati manualmente in i logs di eventi FortiWeb.
Hè diventatu longu è scomodu. In a funziunalità standard di FortiWeb, l'avvenimenti sò registrati in testu in 3 logs differenti: attacchi rilevati, dumanda di informazioni è messagi di sistema nantu à l'operazione WAF. Decine o ancu centinaie di avvenimenti d'attaccu ponu vene in un minutu.
Micca tantu, ma duvete cullà manualmente attraversu parechji logs è iterate attraversu parechje linee:
In u logu di l'attaccu, vedemu l'indirizzi di l'utilizatori è a natura di l'attività.
Ùn hè micca abbastanza per scansà a tavola di log. Per truvà l'infurmazioni più interessanti è utili nantu à a natura di l'attaccu, avete bisognu di circà in un avvenimentu specificu:
I campi evidenziati aiutanu à detectà "attaccu lento". Fonte: screenshot da .
Ebbè, u prublema principali hè chì solu un specialista FortiWeb pò capisce. Mentre chì durante l'ore di l'affari pudemu ancu monitorà l'attività sospetta in tempu reale, l'inchiesta in incidenti di notte puderia piglià più longu. Quandu e pulitiche di FortiWeb ùn anu micca travagliatu per qualchì mutivu, l'ingegneri di turnu di notte in u turnu ùn anu micca pussutu valutà a situazione senza accessu à u WAF è hà svegliatu u specialista FortiWeb. Fighjemu à traversu i logs per parechje ore è truvamu u mumentu di l'attaccu.
Cù tali volumi d'infurmazioni, hè difficiule di capiscenu a big picture à u primu sguardu è agisce in modu proattivu. Allora avemu decisu di cullà e dati in un locu per analizà tuttu in una forma visuale, truvà u principiu di l'attaccu, identificà a so direzzione è u metudu di bluccà.
Chì avete sceltu ?
Prima di tuttu, avemu vistu i suluzioni digià in usu per ùn multiplicà l'entità inutilmente.
Una di e prime opzioni era Nagioschì avemu aduprà per monitorà , , avvisi d'emergenza. I guardiani di sicurezza l'utilizanu ancu per avvisà l'ufficiali di u duvere in casu di trafficu suspettu, ma ùn sà micca cumu cullà logs spargugliati è per quessa ùn hè più necessariu.
Ci era una opzione per aggregate tuttu MySQL è PostgreSQL o una altra basa di dati relazionale. Ma per caccià i dati, era necessariu di sculture a vostra dumanda.
Cum'è un cullettore di log in a nostra cumpagnia anu ancu aduprà FortiAnalyzer da Fortinet. Ma in questu casu, ùn hè micca adattatu. Prima, hè più sharpened per travaglià cù un firewall FortiGate. Siconda, parechji paràmetri mancavanu, è l'interazzione cun ellu necessitava una cunniscenza eccellente di e dumande SQL. È u terzu, u so usu aumenterà u costu di u serviziu per u cliente.
Questu hè cumu avemu ghjuntu à open source in faccia ELK.
Perchè sceglie ELK
ELK hè un inseme di prugrammi open source:
- Elasticsearch - una basa di dati di serie di tempu, chì hè stata specificamente creata per travaglià cù grandi volumi di testu;
- Logstash - un mecanismu di cullizzioni di dati chì pò cunvertisce logs in u formatu desideratu;
- Kibana - un bon visualizatore, è ancu una interfaccia abbastanza amichevule per a gestione di Elasticsearch. Pudete aduprà per custruisce scheduli chì ponu esse monitorati da ingegneri di serviziu di notte.
U limitu di ingressu à ELK hè bassu. Tutte e funzioni basi sò libere. Chì altru hè necessariu per a felicità?
Cumu l'avete riunitu tuttu in un sistema?
Indici creati è lasciatu solu l'infurmazioni necessarii. Avemu caricatu tutti i trè logs FortiWEB in ELK è l'output era indici. Quessi sò schedarii cù tutti i logs raccolti per un periodu, per esempiu, un ghjornu. Se l'avemu visualizatu immediatamente, avemu vistu solu a dinamica di l'attacchi. Per i dettagli, avete bisognu di "cascà" in ogni attaccu è fighjà campi specifichi.
Avemu capitu chì prima avemu bisognu di stallà l'analisi di l'infurmazioni micca strutturate. Avemu pigliatu campi longu cum'è strings, cum'è "Message" è "URL", è l'analizamu per avè più infurmazione per a decisione.
Per esempiu, usendu parsing, avemu pigliatu u locu di l'utilizatore per separatamente. Questu hà aiutatu à mette immediatamente in risaltu attacchi da l'esteru nantu à i siti per l'utilizatori russi. Bloquendu tutte e cunnessione da l'altri paesi, avemu riduciutu u numeru di attacchi à a mità è pudemu trattà tranquillamente cù attacchi in Russia.
Dopu l'analisi, cuminciaru à circà quale infurmazione per almacenà è visualizà. Era impracticable di lascià tuttu in u ghjurnale: a dimensione di un indice era grande - 7 GB. ELK hà pigliatu assai tempu per processà u schedariu. Tuttavia, micca tutte l'infurmazioni eranu utili. Qualcosa hè stata duplicata è pigghiau spaziu extra - ci vole à esse ottimisatu.
À u primu, avemu simpricimenti fighjulatu attraversu l'indici è sguassate avvenimenti innecessarii. Questu hè diventatu ancu più inconveniente è più longu di travaglià cù logs in FortiWeb stessu. L'unicu plus da l'"Arbulu di Natale" in questa tappa hè chì pudemu visualizà un grande periodu di tempu nantu à una pantalla.
Ùn avemu micca disperatu, cuntinuò à manghjà cactus, studià ELK è cridemu chì puderemu esse estratti l'infurmazioni necessarii. Dopu a pulizia di l'indici, avemu cuminciatu à visualizà ciò chì hè. Allora avemu ghjuntu à grandi dashboards. Avemu fattu widgets - visualmente è eleganti, un veru ЁLKa!
Captu u mumentu di l'attaccu. Avà era necessariu di capisce cumu u principiu di l'attaccu s'assumiglia à a carta. Per detectà, avemu vistu e risposte di u servitore à l'utilizatori (codici di ritornu). Eramu interessati à risposti di u servitore cù tali codici (rc):
Codice (rc)
Titulu
discrizzione
0
GOCCIA
A dumanda à u servitore hè bluccata
200
Ok
A dumanda hè stata trattata cun successu
400
Richiesta brutta
A dumanda invalida
403
Pruibitu
Autorizazione denegata
500
Errore internu di serviziu
U serviziu ùn hè micca dispunibule
Se qualchissia hà cuminciatu à attaccà u situ, u rapportu di codici cambiatu:
- S'ellu ci era più dumande erronee cù u codice 400, ma u listessu numeru di richieste nurmali cù u codice 200 restava, significa chì qualchissia hà pruvatu à pirate u situ.
- Se à u listessu tempu e dumande cù u codice 0 anu aumentatu ancu, i pulitici di FortiWeb anu ancu "vidutu" l'attaccu è appiicanu blocchi à questu.
- Se u numeru di missaghji cù u codice 500 hà aumentatu, significa chì u situ ùn hè micca dispunibule per questi indirizzi IP - ancu un tipu di bluccatu.
À u terzu mese, avemu stallatu un dashboard per seguità sta attività.
Per ùn monitorà tuttu manualmente, avemu stabilitu l'integrazione cù Nagios, chì hà sondatu ELK à certi intervalli. Se aghju rilevatu i valori di soglia righjunti da i codici, aghju mandatu una notificazione à l'ufficiali di l'attività sospette.
Cumminatu 4 charts in u sistema di monitoraghju. Avà era impurtante di vede nantu à i grafici u mumentu chì l'attaccu ùn era micca bluccatu è l'intervenzione di un ingegnere era necessariu. Nantu à 4 grafici diffirenti, u nostru ochju era sfucatu. Dunque, avemu cumminatu i grafici è cuminciaru à osservà tuttu nantu à una pantalla.
Durante u monitoraghju, avemu vistu cumu cambiavanu i grafici di diversi culori. Un splash di rossu hà dimustratu chì l'attaccu era cuminciatu, mentre chì i grafici aranciu è blu mostranu a risposta di FortiWeb:
Tuttu hè bè quì: ci hè stata una crescita di l'attività "rossa", ma FortiWeb l'hà affruntatu è u calendariu di l'attaccu ùn hè statu nunda.
Avemu ancu tracciatu per noi un esempiu di un gràficu chì richiede intervenzione:
Quì pudemu vede chì FortiWeb hà aumentatu l'attività, ma u graficu di attaccu rossu ùn hè micca diminuitu. Avete bisognu di cambià i vostri paràmetri WAF.
L'investigazione di incidenti di notte hè ancu diventata più faciule. U graficu mostra immediatamente u mumentu quandu hè u tempu di vene à a difesa di u situ.
Hè ciò chì accade qualchì volta di notte. Graficu rossu - l'attaccu hà cuminciatu. Blu - Attività FortiWeb. L'attaccu ùn era micca cumplettamente bluccatu, avemu avutu à intervene.
Induve andemu ?
Attualmente formamu amministratori di duvere per travaglià cù ELK. L'assistenti amparanu à valutà a situazione nantu à u dashboard è piglià una decisione: hè u tempu di scalate à un specialista di FortiWeb, o e pulitiche nantu à u WAF seranu abbastanza per respinge automaticamente l'attaccu. Allora riducemu a carica nantu à l'ingegneri di sicurezza di l'infurmazioni di notte è dividemu i roli in supportu à u livellu di u sistema. L'accessu à FortiWeb ferma solu cù u centru di difesa cibernetica, è solu facenu cambiamenti à i paràmetri WAF quandu anu bisognu urgente.
Avemu ancu travagliatu nantu à i rapporti per i clienti. Avemu pianificatu chì e dati nantu à a dinamica di l'operazione WAF seranu dispunibili in u contu persunale di u cliente. ELK farà a situazione più chjara senza a necessità di riferite à u WAF stessu.
Se u cliente vole monitorà a so prutezzione in tempu reale, ELK serà ancu utile. Ùn pudemu micca dà l'accessu à WAF, postu chì l'interferenza di u cliente in u travagliu pò influenzà l'altri. Ma pudete piglià un ELK separatu è dà à "giocà".
Eccu i scenarii per aduprà l'arburu di Natale chì avemu accumulatu ultimamente. Sparte i vostri pinsamenti nantu à questu è ùn vi scurdate per evitari fughe di basa di dati.
Source: www.habr.com