Sant cyber defans nou an responsab pou sekirite enfrastrikti entènèt kliyan yo epi repouse atak sou sit kliyan yo. Nou itilize firewall aplikasyon entènèt FortiWeb (WAF) pou pwoteje kont atak. Men, menm WAF ki pi fre a se pa yon Miracles epi li pa pwoteje soti nan bwat la kont atak vize.
Se poutèt sa, anplis WAF nou itilize . Li ede kolekte tout evènman nan yon sèl kote, akimile estatistik, vizyalize yo epi pèmèt nou wè yon atak vize nan tan.
Jodi a mwen pral di nou an plis detay ki jan nou te travèse "Pyebwa Nwèl la" ak WAF ak sa ki soti nan li.
Istwa a nan yon sèl atak: ki jan tout bagay te travay anvan tranzisyon an nan ELK
Kliyan an gen yon aplikasyon deplwaye nan nwaj nou an ki dèyè WAF nou an. Soti nan 10 a 000 itilizatè ki konekte nan sit la chak jou, kantite koneksyon yo te rive nan 100 milyon dola pa jou. Nan sa yo, 000-20 itilizatè yo te atakè epi yo te eseye Hack sit la.
FortiWeb bloke fòm abityèl fòs brital soti nan yon adrès IP byen fasil. Nimewo a nan frape pou chak minit nan sit la te pi wo pase sa yo ki nan itilizatè lejitim. Nou tou senpleman fikse papòt aktivite nan yon adrès epi repouse atak la.
Li pi difisil pou konbat "atak dousman," lè atakè yo aji dousman epi degize kòm kliyan òdinè. Yo itilize anpil adrès IP inik. Aktivite sa a pa t sanble ak yon gwo fòs brital pou WAF; li te pi difisil pou swiv li otomatikman. Te gen tou yon risk pou bloke itilizatè nòmal yo. Nou te chèche lòt siy yon atak ak konfigirasyon yon politik otomatikman bloke adrès IP ki baze sou siy sa a. Pou egzanp, anpil sesyon ilejitim te gen jaden komen nan tèt demann HTTP yo. Souvan yo te dwe fouye jaden sa yo manyèlman nan mòso bwa evènman FortiWeb.
Li te tounen soti long ak alèz. Nan fonksyonalite estanda FortiWeb, evènman yo anrejistre nan tèks nan 3 jounal diferan: atak detekte, demann enfòmasyon, ak mesaj sistèm sou operasyon WAF. Plizyè douzèn oswa menm dè santèn de evènman atak ka rive nan yon minit.
Pa tèlman, men ou dwe manyèlman monte nan plizyè mòso bwa epi repete nan yon anpil nan liy:
Nan jounal atak la nou wè adrès itilizatè yo ak nati aktivite a.
Li pa ase tou senpleman eskane tab la boutèy demi lit. Pou jwenn enfòmasyon ki pi enteresan ak itil sou nati atak la, ou bezwen gade andedan yon evènman espesifik:
Jaden yo make ede yo detekte yon "atak dousman". Sous: Ekran soti nan .
Oke, pwoblèm ki pi enpòtan an se ke sèlman yon espesyalis FortiWeb ka kalkile sa a. Pandan ke pandan lè travay nou te kapab toujou kontwole aktivite sispèk an tan reyèl, envestigasyon an nan ensidan lannwit ka pran plis tan. Lè règleman FortiWeb yo pa t 'travay pou kèk rezon, enjenyè shift lannwit nan sèvis yo pa t' kapab evalye sitiyasyon an san aksè nan WAF la ak reveye espesyalis nan FortiWeb. Nou gade nan plizyè èdtan nan mòso bwa ak jwenn moman sa a nan atak la.
Avèk kantite enfòmasyon sa yo, li difisil pou w konprann gwo foto a nan premye gade epi aji yon fason proactive. Lè sa a, nou deside kolekte done nan yon sèl kote yo nan lòd yo analize tout bagay nan yon fòm vizyèl, jwenn kòmansman an nan atak la, idantifye direksyon li yo ak metòd bloke.
Ki sa ou te chwazi nan?
Premye a tout, nou gade solisyon yo ki deja itilize pou yo pa miltipliye antite san nesesite.
Youn nan premye opsyon yo te Nagioske nou itilize pou siveyans , , alèt sou sitiyasyon ijans. Gad sekirite yo sèvi ak li tou pou notifye ofisye devwa yo nan evènman an nan trafik sispèk, men li pa konnen ki jan yo kolekte mòso bwa ki gaye ak Se poutèt sa li pa nesesè ankò.
Te gen yon opsyon pou rasanble tout bagay lè l sèvi avèk MySQL ak PostgreSQL oswa lòt baz done relasyon. Men, yo nan lòd yo rale soti done, ou te gen yo kreye aplikasyon pwòp ou a.
Konpayi nou an itilize tou FortiAnalyzer soti nan Fortinet. Men, li pa t 'anfòm nan ka sa a tou. Premyèman, li se plis pwepare pou travay ak yon firewall FortiGate. Dezyèmman, anpil paramèt te manke, epi entèraksyon avèk li te mande yon konesans ekselan sou demann SQL. Ak twazyèmman, itilizasyon li yo ta ogmante pri a nan sèvis la pou kliyan an.
Sa a se ki jan nou te vin nan sous louvri nan fòm lan nan ELK.
Poukisa chwazi ELK
ELK se yon seri pwogram sous louvri:
- Elasticsearch – yon baz done seri tan, ki te kreye espesyalman pou travay avèk gwo volim tèks;
- logstash – yon mekanis koleksyon done ki ka konvèti mòso bwa nan fòma vle a;
- kibana - yon bon vizyèl, osi byen ke yon koòdone san patipri zanmitay pou jere Elasticsearch. Ou ka sèvi ak li pou konstwi graf ke enjenyè nan sèvis yo ka kontwole nan mitan lannwit.
Papòt antre nan ELK ba. Tout karakteristik debaz yo gratis. Ki lòt bagay ki nesesè pou kontantman?
Ki jan nou te mete tout bagay ansanm nan yon sèl sistèm?
Nou te kreye endèks epi kite sèlman enfòmasyon ki nesesè yo. Nou chaje tout twa mòso bwa FortiWEB nan ELK ak pwodiksyon an te endèks. Sa yo se dosye ak tout mòso bwa yo kolekte pou yon peryòd, pou egzanp, yon jou. Si nou imedyatman vizyalize yo, nou ta sèlman wè dinamik yo nan atak yo. Pou plis detay, ou bezwen "tonbe nan" chak atak epi gade nan jaden espesifik.
Nou reyalize ke premye nou bezwen mete kanpe analiz la nan enfòmasyon ki pa estriktire. Nou te pran jaden long nan fòm fisèl, tankou "Mesaj" ak "URL", epi analize yo jwenn plis enfòmasyon pou pran desizyon.
Pou egzanp, lè l sèvi avèk analiz, nou separeman idantifye kote itilizatè a. Sa a te ede imedyatman mete aksan sou atak soti aletranje sou sit pou itilizatè Larisi. Lè nou bloke tout koneksyon ki soti nan lòt peyi yo, nou redwi kantite atak la mwatye epi nou te kapab fè fas ak atak andedan Larisi avèk kalm.
Apre parsing, nou te kòmanse chèche ki enfòmasyon pou konsève ak visualiser. Li te Inposibl kite tout bagay nan jounal la: gwosè a nan yon sèl endèks te gwo - 7 GB. ELK te pran anpil tan pou trete dosye a. Sepandan, se pa tout enfòmasyon yo te itil. Yon bagay te kopi e li te pran espas siplemantè - li te bezwen optimize.
Okòmansman, nou tou senpleman tcheke endèks la epi retire evènman ki pa nesesè yo. Sa a te vin menm pi konvenyan ak pi long pase travay ak mòso bwa sou FortiWeb tèt li. Sèl avantaj "Pyebwa Nwèl la" nan etap sa a se ke nou te kapab visualiser yon gwo peryòd de tan sou yon ekran.
Nou pa t 'dezespwa, kontinye manje kaktis, etidye ELK ak kwè ke nou ta kapab ekstrè enfòmasyon ki nesesè yo. Apre netwaye endis yo, nou te kòmanse visualiser sa nou te genyen. Men ki jan nou rive nan gwo tablodbò. Nou te eseye kèk widgets - vizyèlman ak elegant, yon reyèl pye bwa Nwèl!
Moman atak la te anrejistre. Koulye a, nou te bezwen konprann ki sa kòmansman yon atak sanble sou graf la. Pou detekte li, nou gade repons sèvè a bay itilizatè a (kod retounen). Nou te enterese nan repons sèvè ak kòd sa yo (rc):
Kòd (rc)
Non
Deskripsyon
0
Gout
Demann nan sèvè a bloke
200
Ok
Demann trete avèk siksè
400
Move Demann
Demann ki pa valab
403
Entèdi
Yo refize otorizasyon
500
Erè sèvè Entèn
Sèvis pa disponib
Si yon moun te kòmanse atake sit la, rapò a nan kòd chanje:
- Si te gen plis demann inègza ak kòd 400, men menm kantite demann nòmal ak kòd 200 rete, sa vle di yon moun t ap eseye Hack sit la.
- Si an menm tan demann ak kòd 0 ogmante tou, Lè sa a, politisyen FortiWeb tou "wè" atak la epi aplike blòk sou li.
- Si kantite mesaj ki gen kòd 500 ogmante, sa vle di sit la pa disponib pou adrès IP sa yo - tou yon kalite bloke.
Nan twazyèm mwa a, nou te mete kanpe yon tablodbò pou swiv aktivite sa yo.
Nan lòd pa kontwole tout bagay manyèlman, nou mete entegrasyon ak Nagios, ki te vote ELK nan sèten entèval. Si mwen te detekte valè papòt yo te rive jwenn pa kòd, mwen te voye yon notifikasyon bay ofisye devwa yo sou aktivite sispèk.
Konbine 4 grafik nan sistèm siveyans lan. Koulye a, li te enpòtan yo wè sou graf yo moman sa a lè atak la pa te bloke epi yo te bezwen entèvansyon yon enjenyè. Sou 4 tablo diferan je nou twoub. Se poutèt sa, nou konbine tablo yo epi yo te kòmanse kontwole tout bagay sou yon sèl ekran.
Pandan siveyans, nou te gade kijan graf diferan koulè chanje. Yon ti tach wouj te montre ke atak la te kòmanse, pandan y ap graf zoranj ak ble te montre repons FortiWeb:
Tout bagay anfòm isit la: te gen yon vag nan aktivite "wouj", men FortiWeb fè fas ak li ak orè atak la te rive nan anyen.
Nou te trase pou tèt nou tou yon egzanp yon graf ki mande entèvansyon:
Isit la nou wè ke FortiWeb te ogmante aktivite, men graf atak wouj la pa diminye. Ou bezwen chanje paramèt WAF ou yo.
Ankèt sou ensidan lannwit tou vin pi fasil. Graf la imedyatman montre moman sa a lè li lè pou vin pwoteje sit la.
Sa a se sa ki pafwa rive nan mitan lannwit. Wouj graf - atak la te kòmanse. Blue - Aktivite FortiWeb. Atak la pa te bloke nèt, kidonk mwen te oblije entèvni.
Ki kote nou prale?
Kounye a nou ap fòme administratè devwa yo pou yo travay avèk ELK. Moun ki nan sèvis yo aprann evalye sitiyasyon an sou tablodbò a epi pran yon desizyon: li lè yo vin tounen yon espesyalis FortiWeb, oswa règleman yo sou WAF yo ase pou repouse yon atak otomatikman. Nan fason sa a nou redwi chaj la sou enjenyè sekirite enfòmasyon nan mitan lannwit ak divize wòl sipò nan nivo sistèm nan. Aksè a FortiWeb rete sèlman ak sant defans cyber la, epi sèlman yo fè chanjman nan anviwònman WAF lè absoliman nesesè.
Nou ap travay tou sou rapò pou kliyan yo. Nou planifye ke done sou dinamik operasyon WAF yo ap disponib nan kont pèsonèl kliyan an. ELK pral rann sitiyasyon an pi transparan san li pa bezwen kontakte WAF li menm.
Si kliyan an vle kontwole pwoteksyon yo an tan reyèl, ELK ap tou vin an sou la men. Nou pa ka bay aksè a WAF, paske entèferans kliyan nan travay la ka afekte lòt moun. Men, ou ka ranmase yon ELK separe epi bay li "jwe" avèk.
Sa yo se senaryo yo pou itilize "Pyebwa Nwèl la" ke nou te akimile dènyèman. Pataje lide ou sou zafè sa a epi pa bliye pou evite fwit baz done.
Sous: www.habr.com