Mae ein canolfan amddiffyn seiber yn gyfrifol am ddiogelwch seilwaith gwe cleientiaid ac mae'n gwrthyrru ymosodiadau ar wefannau cleientiaid. Rydym yn defnyddio waliau tân cymwysiadau gwe FortiWeb (WAF) i amddiffyn rhag ymosodiadau. Ond nid yw hyd yn oed y WAF oeraf yn ateb i bob problem ac nid yw'n amddiffyn allan o'r bocs rhag ymosodiadau wedi'u targedu.
Felly, yn ogystal â WAF rydym yn defnyddio . Mae'n helpu i gasglu'r holl ddigwyddiadau mewn un lle, yn cronni ystadegau, yn eu delweddu ac yn caniatáu inni weld ymosodiad wedi'i dargedu mewn pryd.
Heddiw byddaf yn dweud wrthych yn fanylach sut y gwnaethom groesi'r “goeden Nadolig” gyda WAF a beth ddaeth allan ohoni.
Stori un ymosodiad: sut roedd popeth yn gweithio cyn y newid i ELK
Mae gan y cwsmer gais yn ein cwmwl sydd y tu ôl i'n WAF. Rhwng 10 a 000 o ddefnyddwyr sy'n cysylltu â'r wefan bob dydd, cyrhaeddodd nifer y cysylltiadau 100 miliwn y dydd. O'r rhain, roedd 000-20 o ddefnyddwyr yn ymosodwyr ac yn ceisio hacio'r wefan.
Fe wnaeth FortiWeb rwystro'r ffurflen grym 'n Ysgrublaidd arferol o un cyfeiriad IP yn eithaf hawdd. Roedd nifer yr ymweliadau y funud i'r wefan yn uwch na nifer y defnyddwyr cyfreithlon. Yn syml, fe wnaethom osod trothwyon gweithgaredd o un cyfeiriad a gwrthyrru'r ymosodiad.
Mae’n llawer anoddach brwydro yn erbyn “ymosodiadau araf,” pan fydd ymosodwyr yn ymddwyn yn araf ac yn cuddio eu hunain fel cleientiaid cyffredin. Maent yn defnyddio llawer o gyfeiriadau IP unigryw. Nid oedd gweithgaredd o'r fath yn edrych fel grym creulon enfawr i WAF; roedd yn anoddach ei olrhain yn awtomatig. Roedd risg hefyd o rwystro defnyddwyr arferol. Fe wnaethom edrych am arwyddion eraill o ymosodiad a ffurfweddu polisi i rwystro cyfeiriadau IP yn awtomatig yn seiliedig ar yr arwydd hwn. Er enghraifft, roedd gan lawer o sesiynau anghyfreithlon feysydd cyffredin ym mhenawdau ceisiadau HTTP. Yn aml roedd yn rhaid chwilio'r meysydd hyn â llaw mewn logiau digwyddiad FortiWeb.
Trodd allan yn hir ac yn anghyfforddus. Yn ymarferoldeb safonol FortiWeb, mae digwyddiadau'n cael eu cofnodi mewn testun mewn 3 log gwahanol: ymosodiadau wedi'u canfod, gwybodaeth cais, a negeseuon system am weithrediad WAF. Gall dwsinau neu hyd yn oed gannoedd o ddigwyddiadau ymosod gyrraedd mewn munud.
Dim cymaint, ond mae'n rhaid i chi ddringo â llaw trwy sawl boncyff ac ailadrodd trwy lawer o linellau:
Yn y log ymosodiad gwelwn gyfeiriadau defnyddwyr a natur y gweithgaredd.
Nid yw'n ddigon i sganio'r tabl log yn unig. I ddod o hyd i'r wybodaeth fwyaf diddorol a defnyddiol am natur yr ymosodiad, mae angen ichi edrych y tu mewn i ddigwyddiad penodol:
Mae'r meysydd a amlygwyd yn helpu i ganfod "ymosodiad araf". Ffynhonnell: sgrinlun o .
Wel, y broblem bwysicaf yw mai dim ond arbenigwr FortiWeb all ddatrys hyn. Er y gallem barhau i fonitro gweithgarwch amheus mewn amser real yn ystod oriau busnes, gallai'r ymchwiliad i ddigwyddiadau yn ystod y nos gymryd mwy o amser. Pan nad oedd polisïau FortiWeb yn gweithio am ryw reswm, nid oedd y peirianwyr sifft nos ar ddyletswydd yn gallu asesu'r sefyllfa heb fynediad at y WAF a deffrodd yr arbenigwr FortiWeb. Edrychon ni trwy sawl awr o foncyffion a dod o hyd i foment yr ymosodiad.
Gyda chymaint o wybodaeth, mae'n anodd deall y darlun mawr ar yr olwg gyntaf a gweithredu'n rhagweithiol. Yna fe benderfynon ni gasglu data mewn un lle er mwyn dadansoddi popeth ar ffurf weledol, dod o hyd i ddechrau'r ymosodiad, nodi ei gyfeiriad a'i ddull blocio.
O beth wnaethoch chi ddewis?
Yn gyntaf oll, buom yn edrych ar yr atebion sydd eisoes yn cael eu defnyddio er mwyn peidio â lluosi endidau yn ddiangen.
Un o'r opsiynau cyntaf oedd Nagiosa ddefnyddiwn ar gyfer monitro , , rhybuddion am sefyllfaoedd brys. Mae gwarchodwyr diogelwch hefyd yn ei ddefnyddio i hysbysu swyddogion dyletswydd os bydd traffig amheus, ond nid yw'n gwybod sut i gasglu boncyffion gwasgaredig ac felly nid oes eu hangen mwyach.
Roedd opsiwn i agregu popeth gan ddefnyddio MySQL a PostgreSQL neu gronfa ddata berthynol arall. Ond er mwyn tynnu data allan, roedd yn rhaid i chi greu eich cais eich hun.
Mae ein cwmni hefyd yn defnyddio FortiAnalyzer o Fortinet. Ond nid oedd yn cyd-fynd yn yr achos hwn ychwaith. Yn gyntaf, mae wedi'i deilwra'n well i weithio gyda wal dân FortiGate. Yn ail, roedd llawer o leoliadau ar goll, ac roedd rhyngweithio ag ef yn gofyn am wybodaeth ragorol o ymholiadau SQL. Ac yn drydydd, byddai ei ddefnydd yn cynyddu cost y gwasanaeth i'r cwsmer.
Dyma sut y daethom i ffynhonnell agored ar ffurf ELK.
Pam dewis ELK
Set o raglenni ffynhonnell agored yw ELK:
- Elastig – cronfa ddata cyfres amser, a grëwyd yn benodol i weithio gyda llawer iawn o destun;
- Logstash - mecanwaith casglu data a all drosi logiau i'r fformat a ddymunir;
- Kibana - delweddwr da, yn ogystal â rhyngwyneb eithaf cyfeillgar ar gyfer rheoli Elasticsearch. Gallwch ei ddefnyddio i adeiladu graffiau y gall peirianwyr ar ddyletswydd eu monitro yn ystod y nos.
Mae'r trothwy mynediad i ELK yn isel. Mae'r holl nodweddion sylfaenol yn rhad ac am ddim. Beth arall sydd ei angen ar gyfer hapusrwydd?
Sut wnaethom ni roi’r cyfan at ei gilydd mewn un system?
Fe wnaethon ni greu mynegeion a gadael y wybodaeth angenrheidiol yn unig. Fe wnaethom lwytho pob un o'r tri log FortiWEB i mewn i ELK a mynegeion oedd yr allbwn. Ffeiliau yw'r rhain gyda'r holl logiau a gasglwyd am gyfnod, er enghraifft, diwrnod. Pe baem yn eu delweddu ar unwaith, ni fyddem ond yn gweld deinameg yr ymosodiadau. Am fanylion, mae angen i chi “syrthio i mewn i” bob ymosodiad ac edrych ar feysydd penodol.
Sylweddolom fod angen i ni sefydlu'r dadansoddiad o wybodaeth anstrwythuredig yn gyntaf. Fe wnaethom gymryd meysydd hir ar ffurf tannau, fel “Neges” ac “URL”, a'u dosrannu i gael mwy o wybodaeth ar gyfer gwneud penderfyniadau.
Er enghraifft, gan ddefnyddio dosrannu, gwnaethom nodi lleoliad y defnyddiwr ar wahân. Helpodd hyn i dynnu sylw ar unwaith at ymosodiadau o dramor ar wefannau ar gyfer defnyddwyr Rwsia. Trwy rwystro pob cysylltiad o wledydd eraill, fe wnaethom leihau nifer yr ymosodiadau gan hanner a gallem ddelio'n dawel ag ymosodiadau y tu mewn i Rwsia.
Ar ôl dosrannu, dechreuon ni chwilio am ba wybodaeth i'w storio a'i delweddu. Roedd yn anymarferol gadael popeth yn y cyfnodolyn: roedd maint un mynegai yn fawr - 7 GB. Cymerodd ELK amser hir i brosesu'r ffeil. Fodd bynnag, nid oedd yr holl wybodaeth yn ddefnyddiol. Cafodd rhywbeth ei ddyblygu a chymerodd le ychwanegol - roedd angen ei optimeiddio.
Ar y dechrau, yn syml, fe wnaethom sganio'r mynegai a dileu digwyddiadau diangen. Trodd hyn allan i fod hyd yn oed yn fwy anghyfleus ac yn hirach na gweithio gyda logiau ar FortiWeb ei hun. Unig fantais y “goeden Nadolig” ar hyn o bryd yw ein bod wedi gallu delweddu cyfnod mawr o amser ar un sgrin.
Ni wnaethom anobeithio, parhau i fwyta cactws, astudio ELK a chredwn y byddem yn gallu tynnu'r wybodaeth angenrheidiol. Ar ôl glanhau'r mynegeion, dechreuon ni ddelweddu'r hyn oedd gennym ni. Dyma sut y daethom i ddangosfyrddau mawr. Fe wnaethon ni roi cynnig ar rai teclynnau - yn weledol ac yn gain, coeden Nadolig go iawn!
Cafodd eiliad yr ymosodiad ei gofnodi. Nawr roedd angen i ni ddeall sut olwg sydd ar ddechrau ymosodiad ar y graff. Er mwyn ei ganfod, fe wnaethom edrych ar ymatebion y gweinydd i'r defnyddiwr (codau dychwelyd). Roedd gennym ddiddordeb mewn ymatebion gweinydd gyda'r codau canlynol (rc):
Cod (rc)
Enw
Disgrifiad
0
GALW
Mae'r cais i'r gweinydd wedi'i rwystro
200
Ok
Cais wedi'i brosesu'n llwyddiannus
400
Cais drwg
Cais annilys
403
Forbidden
Awdurdodiad wedi'i wrthod
500
Gwall Gweinydd Mewnol
Nid yw'r gwasanaeth ar gael
Os dechreuodd rhywun ymosod ar y wefan, newidiodd y gymhareb codau:
- Pe bai ceisiadau mwy gwallus gyda chod 400, ond bod yr un nifer o geisiadau arferol gyda chod 200 yn parhau, mae'n golygu bod rhywun yn ceisio hacio'r wefan.
- Pe bai ceisiadau gyda chod 0 hefyd yn cynyddu ar yr un pryd, yna fe wnaeth gwleidyddion FortiWeb hefyd “weld” yr ymosodiad a gosod blociau arno.
- Os cynyddodd nifer y negeseuon gyda chod 500, mae'n golygu nad yw'r wefan ar gael ar gyfer y cyfeiriadau IP hyn - hefyd yn fath o rwystro.
Erbyn y trydydd mis, roeddem wedi sefydlu dangosfwrdd i olrhain gweithgarwch o'r fath.
Er mwyn peidio â monitro popeth â llaw, fe wnaethom sefydlu integreiddio â Nagios, a holodd ELK ar adegau penodol. Pe bawn yn canfod gwerthoedd trothwy a gyrhaeddwyd gan godau, anfonais hysbysiad at y swyddogion ar ddyletswydd am weithgarwch amheus.
Cyfuno 4 graffeg yn y system fonitro. Nawr roedd yn bwysig gweld ar y graffiau yr eiliad pan na chafodd yr ymosodiad ei rwystro a bod angen ymyrraeth peiriannydd. Ar 4 siart gwahanol, niwlogodd ein llygaid. Felly, fe wnaethom gyfuno'r siartiau a dechrau monitro popeth ar un sgrin.
Yn ystod y monitro, buom yn gwylio sut y newidiodd graffiau o wahanol liwiau. Roedd sblash o goch yn dangos bod yr ymosodiad wedi dechrau, tra bod graffiau oren a glas yn dangos ymateb FortiWeb:
Mae popeth yn iawn yma: bu ymchwydd o weithgarwch “coch”, ond dygymododd FortiWeb ag ef a daeth yr amserlen ymosod yn ddrwg.
Fe wnaethom hefyd dynnu i ni ein hunain enghraifft o graff sy'n gofyn am ymyrraeth:
Yma gwelwn fod FortiWeb wedi cynyddu gweithgaredd, ond nid yw'r graff ymosodiad coch wedi gostwng. Mae angen i chi newid eich gosodiadau WAF.
Mae ymchwilio i ddigwyddiadau nos hefyd wedi dod yn haws. Mae'r graff yn dangos yn syth pryd mae'n amser dod i warchod y safle.
Dyma beth sy'n digwydd weithiau yn y nos. Graff coch – mae'r ymosodiad wedi dechrau. Glas – gweithgaredd FortiWeb. Ni chafodd yr ymosodiad ei rwystro’n llwyr, felly bu’n rhaid i mi ymyrryd.
Ble rydyn ni'n mynd?
Ar hyn o bryd rydym yn hyfforddi gweinyddwyr ar ddyletswydd i weithio gydag ELK. Mae'r rhai sydd ar ddyletswydd yn dysgu sut i asesu'r sefyllfa ar y dangosfwrdd a gwneud penderfyniad: mae'n bryd cyfeirio at arbenigwr FortiWeb, neu mae'r polisïau ar y WAF yn ddigon i wrthyrru'r ymosodiad yn awtomatig. Fel hyn rydym yn lleihau'r llwyth ar beirianwyr diogelwch gwybodaeth yn y nos ac yn rhannu rolau cymorth ar lefel y system. Mae mynediad i FortiWeb yn aros gyda'r ganolfan amddiffyn seiber yn unig, a dim ond nhw sy'n gwneud newidiadau i osodiadau WAF pan fo'n gwbl angenrheidiol.
Rydym hefyd yn gweithio ar adrodd i gwsmeriaid. Rydym yn bwriadu y bydd data ar ddeinameg gweithrediad WAF ar gael yng nghyfrif personol y cleient. Bydd ELK yn gwneud y sefyllfa'n fwy tryloyw heb orfod cysylltu â'r Fforwm ei hun.
Os yw'r cwsmer am fonitro ei amddiffyniad mewn amser real, bydd ELK hefyd yn ddefnyddiol. Ni allwn roi mynediad i WAF i ffwrdd, oherwydd gall ymyrraeth cwsmeriaid yn y gwaith effeithio ar eraill. Ond gallwch chi godi ELK ar wahân a'i roi i “chwarae” ag ef.
Dyma’r senarios ar gyfer defnyddio’r “goeden Nadolig” yr ydym wedi’i chasglu’n ddiweddar. Rhannwch eich syniadau ar y mater hwn a pheidiwch ag anghofio i osgoi gollyngiadau cronfa ddata.
Ffynhonnell: hab.com