Kibervédelmi központunk felelős az ügyfelek webes infrastruktúrájának biztonságáért, és visszaveri az ügyféloldalak elleni támadásokat. FortiWeb webalkalmazási tűzfalakat (WAF) használunk a támadások elleni védelemre. De még a legmenőbb WAF sem csodaszer, és nem véd ki a dobozból a célzott támadások ellen.
Ezért a WAF mellett használjuk . Segít összegyűjteni az összes eseményt egy helyen, statisztikákat halmoz fel, megjeleníti azokat, és lehetővé teszi, hogy időben lássunk egy célzott támadást.
Ma részletesebben elmesélem, hogyan léptük át a „karácsonyfát” a WAF-fal, és mi sült ki belőle.
Egy támadás története: hogyan működött minden az ELK-ra való átállás előtt
Az ügyfél egy alkalmazást telepített a felhőnkben, amely a WAF mögött áll. Naponta 10-000 ezer felhasználó csatlakozott az oldalhoz, a csatlakozások száma elérte a napi 100 milliót. Közülük 000-20 felhasználó volt támadó, és megpróbálta feltörni az oldalt.
A FortiWeb elég könnyen blokkolta a szokásos brute force formát egy IP-címről. Az oldal percenkénti látogatottsága magasabb volt, mint a jogos felhasználóké. Egyszerűen tevékenységi küszöböket állítottunk be egy címből, és visszavertük a támadást.
Sokkal nehezebb leküzdeni a „lassú támadásokat”, amikor a támadók lassan cselekszenek, és hétköznapi ügyfeleknek álcázzák magukat. Sok egyedi IP-címet használnak. Az ilyen tevékenység nem tűnt hatalmas nyers erőnek a WAF számára, sokkal nehezebb volt automatikusan követni. Fennállt a normál felhasználók letiltásának kockázata is. Kerestük a támadás egyéb jeleit, és beállítottunk egy házirendet, amely automatikusan blokkolja az IP-címeket ezen jel alapján. Például sok illegitim munkamenetnek közös mezői voltak a HTTP-kérés fejlécében. Ezeket a mezőket gyakran manuálisan kellett keresni a FortiWeb eseménynaplókban.
Hosszúnak és kényelmetlennek bizonyult. A szabványos FortiWeb funkcionalitásban az eseményeket szöveges formában 3 különböző naplóban rögzítik: észlelt támadások, információk kérése és a WAF működésével kapcsolatos rendszerüzenetek. Egy perc alatt több tucat vagy akár több száz támadási esemény érkezhet.
Nem annyira, de manuálisan kell átmászni több naplón keresztül, és sok sort kell iterálni:
A támadásnaplóban láthatjuk a felhasználói címeket és a tevékenység jellegét.
Nem elég egyszerűen átvizsgálni a naplótáblázatot. A támadás természetével kapcsolatos legérdekesebb és leghasznosabb információk megtalálásához meg kell vizsgálnia egy adott eseményt:
A kiemelt mezők segítenek a "lassú támadás" észlelésében. Forrás: képernyőkép innen .
Nos, a legfontosabb probléma az, hogy ezt csak a FortiWeb szakember tudja kitalálni. Míg munkaidőben továbbra is valós időben figyelhettük a gyanús tevékenységeket, az éjszakai események kivizsgálása tovább tarthat. Amikor a FortiWeb szabályzatai valamilyen okból nem működtek, az éjszakai műszakban dolgozó mérnökök nem tudták felmérni a helyzetet a WAF hozzáférése nélkül, és felébresztették a FortiWeb szakembert. Több órányi naplót néztünk át, és megtaláltuk a támadás pillanatát.
Ilyen mennyiségű információ birtokában nehéz első pillantásra megérteni az összképet és proaktívan cselekedni. Aztán úgy döntöttünk, hogy egy helyen gyűjtünk adatokat, hogy mindent vizuális formában elemezhessünk, megtaláljuk a támadás kezdetét, azonosítsuk annak irányát és a blokkolás módját.
miből választottál?
Először is megnéztük a már használatban lévő megoldásokat, hogy ne szaporítsuk feleslegesen az entitásokat.
Az egyik első lehetőség az volt Nagiosamelyeket monitorozásra használunk , , figyelmeztetések vészhelyzetekről. A biztonsági őrök arra is használják, hogy gyanús forgalom esetén értesítsék az ügyeleteseket, de nem tudja, hogyan kell összegyűjteni a szétszórt rönköket, ezért már nincs rá szükség.
Lehetőség volt mindent összesíteni MySQL és PostgreSQL vagy más relációs adatbázis. Az adatok kihúzásához azonban létre kellett hoznia egy saját alkalmazást.
Cégünk is alkalmaz FortiAnalyzer a Fortinettől. De ebben az esetben sem illett. Először is, jobban illeszkedik a tűzfallal való munkához FortiGate. Másodszor, sok beállítás hiányzott, és a vele való interakció megkövetelte az SQL-lekérdezések kiváló ismeretét. Harmadszor pedig, használata növelné a szolgáltatás költségeit az ügyfél számára.
formájában jutottunk el a nyílt forráskódhoz JÁVORSZARVAS.
Miért válassza az ELK-t?
Az ELK nyílt forráskódú programok készlete:
- Elasticsearch – idősoros adatbázis, amelyet kifejezetten nagy mennyiségű szöveg kezelésére hoztak létre;
- Logstash – adatgyűjtési mechanizmus, amely a naplókat a kívánt formátumra tudja konvertálni;
- kibana – egy jó megjelenítő, valamint egy meglehetősen barátságos felület az Elasticsearch kezeléséhez. Használhatja olyan grafikonok készítésére, amelyeket az ügyeletes mérnökök éjszaka is megfigyelhetnek.
Az ELK-ba való belépési küszöb alacsony. Minden alapvető funkció ingyenes. Mi kell még a boldogsághoz?
Hogyan állítottuk össze mindezt egyetlen rendszerré?
Indexeket hoztunk létre, és csak a szükséges információkat hagytuk meg. Mindhárom FortiWEB naplót betöltöttük az ELK-ba, és a kimenet indexek volt. Ezek egy adott időszakra, például egy napra vonatkozó összes összegyűjtött naplófájlok. Ha azonnal vizualizálnánk őket, csak a támadások dinamikáját látnánk. A részletekért minden támadásba bele kell „esnie”, és meg kell néznie bizonyos mezőket.
Rájöttünk, hogy először be kell állítani a strukturálatlan információk elemzését. Hosszú mezőket vettünk ki karakterláncok formájában, mint például az „Üzenet” és az „URL”, és elemeztük őket, hogy több információt kapjunk a döntéshozatalhoz.
Például az elemzés segítségével külön azonosítottuk a felhasználó tartózkodási helyét. Ez segített azonnal felhívni a figyelmet a külföldről érkező támadásokra az orosz felhasználók webhelyein. Azzal, hogy blokkoltunk minden más országokból érkező kapcsolatot, felére csökkentettük a támadások számát, és nyugodtan kezelhettük az Oroszországon belüli támadásokat.
Az elemzés után elkezdtük keresni, hogy milyen információkat tároljunk és vizualizáljunk. Nem volt praktikus mindent a naplóban hagyni: egy index mérete nagy volt - 7 GB. Az ELK-nak sokáig tartott a fájl feldolgozása. Azonban nem minden információ volt hasznos. Valami megkettőződött, és több helyet foglalt el – optimalizálni kellett.
Először egyszerűen átvizsgáltuk az indexet, és eltávolítottuk a szükségtelen eseményeket. Ez még kényelmetlenebbnek és hosszabbnak bizonyult, mint magán a FortiWeben a naplókkal dolgozni. A „karácsonyfa” egyetlen előnye ebben a szakaszban az, hogy egy képernyőn nagy időtartamot tudtunk megjeleníteni.
Nem estünk kétségbe, folytattuk a kaktuszok evését, az ELK tanulmányozását és hittük, hogy sikerül kinyerni a szükséges információkat. Az indexek tisztítása után elkezdtük vizualizálni, hogy mi is van. Így jutottunk el a nagy műszerfalakhoz. Kipróbáltunk néhány kütyüt – vizuálisan és elegánsan, igazi karácsonyfa!
A támadás pillanatát rögzítették. Most meg kellett értenünk, hogyan néz ki egy támadás kezdete a grafikonon. Az észleléshez megvizsgáltuk a szerver válaszait a felhasználónak (visszatérési kódokat). Érdekeltek minket a szerver válaszai a következő kódokkal (rc):
Kód (rc)
Név
Leírás
0
DROP
A szerverhez intézett kérés blokkolva van
200
Ok
A kérés feldolgozása sikeresen megtörtént
400
Rossz kérés
Érvénytelen kérelem
403
tiltott
Engedély megtagadva
500
Internal Server Error
A szolgáltatás nem elérhető
Ha valaki támadni kezdte az oldalt, megváltozott a kódok aránya:
- Ha több hibás kérés érkezett 400-as kóddal, de ugyanannyi normál 200-as kérés maradt, az azt jelenti, hogy valaki megpróbálta feltörni az oldalt.
- Ha ezzel párhuzamosan a 0 kódú kérések is megnövekedtek, akkor a FortiWeb politikusai is „látták” a támadást, és blokkoltak rá.
- Ha megnőtt az 500-as kódú üzenetek száma, az azt jelenti, hogy az oldal nem érhető el ezeken az IP-címeken – ez egyfajta blokkolás is.
A harmadik hónapban felállítottunk egy irányítópultot az ilyen tevékenységek nyomon követésére.
Annak érdekében, hogy ne figyeljünk mindent manuálisan, beállítottuk az integrációt a Nagios-szal, amely bizonyos időközönként lekérdezte az ELK-t. Ha kódokkal elért küszöbértékeket észleltem, gyanús tevékenységről értesítettem az ügyeleteseket.
Kombinált 4 grafika a megfigyelő rendszerben. Most az volt a fontos, hogy lássuk a grafikonokon azt a pillanatot, amikor a támadást nem sikerült blokkolni, és mérnöki beavatkozásra volt szükség. 4 különböző diagramon elhomályosult a szemünk. Ezért egyesítettük a diagramokat, és elkezdtünk mindent egy képernyőn figyelni.
A monitorozás során figyeltük, hogyan változnak a különböző színű grafikonok. Piros csobbanás jelezte, hogy a támadás elkezdődött, míg a narancssárga és kék grafikonok a FortiWeb reakcióját mutatták:
Itt minden rendben van: megugrott a „vörös” aktivitás, de a FortiWeb megbirkózott vele, és a támadási ütemterv semmivé lett.
Rajzoltunk magunknak egy példát is egy beavatkozást igénylő grafikonra:
Itt azt látjuk, hogy a FortiWeb aktivitása növekedett, de a piros támadási grafikon nem csökkent. Módosítania kell a WAF beállításait.
Az éjszakai események kivizsgálása is könnyebbé vált. A grafikon azonnal megmutatja azt a pillanatot, amikor eljött az ideje, hogy megvédjük a webhelyet.
Ez az, ami néha megtörténik éjszaka. Piros grafikon – a támadás megkezdődött. Kék – FortiWeb tevékenység. A támadást nem sikerült teljesen blokkolni, így közbe kellett avatkoznom.
Merre tartunk?
Jelenleg ügyeleti adminisztrátorokat képezünk az ELK-val való együttműködésre. A szolgálatban lévők megtanulják felmérni a helyzetet a műszerfalon, és döntést hozni: ideje eszkalálni a FortiWeb szakemberéhez, vagy a WAF szabályzata elegendő a támadás automatikus visszaveréséhez. Így csökkentjük az információbiztonsági mérnökök éjszakai terhelését, és rendszerszinten megosztjuk a támogató szerepköröket. A FortiWebhez való hozzáférés csak a kibervédelmi központnál marad, és csak ők módosítják a WAF-beállításokat, ha feltétlenül szükséges.
Dolgozunk az ügyfeleknek szóló jelentéskészítésen is. Terveink szerint a WAF működésének dinamikájára vonatkozó adatok elérhetőek lesznek az ügyfél személyes fiókjában. Az ELK átláthatóbbá teszi a helyzetet anélkül, hogy magával a WAF-pal kellene kapcsolatba lépnie.
Ha az ügyfél valós időben szeretné figyelemmel kísérni a védelmét, az ELK is jól jön. Nem tudunk hozzáférést adni a WAF-hoz, mivel az ügyfél beavatkozása a munkába másokat is érinthet. De felvehetsz egy külön ELK-t és odaadhatod "játszani".
Ezek a „karácsonyfa” használatának forgatókönyvei, amelyeket a közelmúltban halmoztunk fel. Ossza meg ötleteit ezzel a kérdéssel kapcsolatban, és ne felejtse el az adatbázis-szivárgások elkerülése érdekében.
Forrás: will.com