Netvarnarmiðstöðin okkar ber ábyrgð á öryggi vefinnviða viðskiptavina og hrekur árásir á vefsvæði viðskiptavina. Við notum FortiWeb vefforritseldveggi (WAF) til að verjast árásum. En jafnvel svalasta WAF er ekki töfrandi lyf og verndar ekki beint úr kassanum fyrir markvissum árásum.
Þess vegna, auk WAF sem við notum . Það hjálpar til við að safna öllum atburðum á einum stað, safnar tölfræði, sér fyrir þá og gerir okkur kleift að sjá markvissa árás í tíma.
Í dag skal ég segja þér nánar hvernig við fórum yfir „jólatréð“ með WAF og hvað kom út úr því.
Saga einnar árásar: hvernig allt virkaði fyrir umskipti yfir í ELK
Viðskiptavinurinn er með forrit í skýinu okkar sem er á bak við WAF okkar. Frá 10 til 000 notendum tengdir síðuna á dag, náði fjöldi tenginga 100 milljónir á dag. Þar af voru 000-20 notendur árásarmenn og reyndu að hakka síðuna.
FortiWeb lokaði venjulegu skepnakraftsforminu frá einni IP tölu nokkuð auðveldlega. Fjöldi heimsókna á síðuna á mínútu var hærri en lögmætra notenda. Við settum einfaldlega virkniþröskulda frá einu heimilisfangi og hröktum árásina frá.
Það er miklu erfiðara að berjast gegn „hægum árásum“ þegar árásarmenn bregðast hægt og dulbúa sig sem venjulega viðskiptavini. Þeir nota margar einstakar IP tölur. Slík athöfn leit ekki út fyrir að WAF væri gríðarlegur herafli; það var erfiðara að fylgjast með henni sjálfkrafa. Einnig var hætta á að loka fyrir venjulega notendur. Við leituðum að öðrum merkjum um árás og stilltum stefnu til að loka sjálfkrafa fyrir IP tölur út frá þessu skilti. Til dæmis voru margar ólögmætar lotur með sameiginlega reiti í HTTP beiðnihausum. Oft þurfti að leita handvirkt í þessum reitum í FortiWeb atburðaskrám.
Það reyndist langt og óþægilegt. Í hefðbundinni FortiWeb virkni eru atburðir skráðir í texta í 3 mismunandi annálum: greindar árásir, beiðni um upplýsingar og kerfisskilaboð um aðgerð WAF. Tugir eða jafnvel hundruðir árásaratburða geta borist á einni mínútu.
Ekki svo mikið, en þú verður að klifra handvirkt í gegnum nokkra stokka og endurtaka í gegnum margar línur:
Í árásarskránni sjáum við netföng notenda og eðli starfseminnar.
Það er ekki nóg að skanna einfaldlega annálatöfluna. Til að finna áhugaverðustu og gagnlegustu upplýsingarnar um eðli árásarinnar þarftu að skoða tiltekinn atburð:
Auðkenndu reitirnir hjálpa til við að greina „hæga árás“. Heimild: skjáskot frá .
Jæja, mikilvægasta vandamálið er að aðeins FortiWeb sérfræðingur getur fundið út úr þessu. Þó að á vinnutíma gætum við enn fylgst með grunsamlegri starfsemi í rauntíma, gæti rannsókn á atvikum að nóttu tekið lengri tíma. Þegar reglur FortiWeb virkuðu ekki af einhverjum ástæðum gátu næturvaktarverkfræðingar á vakt ekki metið ástandið án aðgangs að WAF og vöktu FortiWeb sérfræðinginn. Við skoðuðum nokkrar klukkustundir af annálum og fundum augnablik árásarinnar.
Með slíku magni upplýsinga er erfitt að skilja heildarmyndina við fyrstu sýn og bregðast við með fyrirbyggjandi hætti. Síðan ákváðum við að safna gögnum á einum stað til að greina allt á sjónrænu formi, finna upphaf árásarinnar, bera kennsl á stefnu hennar og aðferð við að loka.
Úr hverju valdir þú?
Í fyrsta lagi skoðuðum við þær lausnir sem þegar eru í notkun til að fjölga ekki einingar að óþörfu.
Einn af fyrstu kostunum var Nagiossem við notum til að fylgjast með , , tilkynningar um neyðartilvik. Öryggisverðir nota það einnig til að láta vaktmenn vita ef um grunsamlega umferð er að ræða, en það kann ekki að safna dreifðum annálum og er því ekki lengur þörf.
Það var möguleiki að safna öllu saman með því að nota MySQL og PostgreSQL eða öðrum tengslagagnagrunni. En til að draga út gögn þurftir þú að búa til þitt eigið forrit.
Fyrirtækið okkar notar einnig FortiAnalyzer frá Fortinet. En það passaði ekki heldur í þessu tilviki. Í fyrsta lagi er það meira sniðið að vinna með eldvegg FortiGate. Í öðru lagi vantaði margar stillingar og samskipti við þær kröfðust frábærrar þekkingar á SQL fyrirspurnum. Og í þriðja lagi myndi notkun þess auka kostnað við þjónustuna fyrir viðskiptavininn.
Þannig komumst við að opnum uppspretta í formi ELK.
Af hverju að velja ELK
ELK er sett af opnum hugbúnaði:
- Elasticsearch – tímaraðargagnagrunnur, sem var sérstaklega búinn til til að vinna með mikið magn af texta;
- Logstash – gagnasöfnunarkerfi sem getur umbreytt annálum í æskilegt snið;
- kibana – gott sjóntæki, sem og nokkuð vinalegt viðmót til að stjórna Elasticsearch. Þú getur notað það til að búa til línurit sem verkfræðingar á vakt geta fylgst með á nóttunni.
Aðgangsþröskuldur í ELK er lágur. Allir grunneiginleikar eru ókeypis. Hvað annað þarf til hamingju?
Hvernig settum við þetta allt saman í eitt kerfi?
Við bjuggum til vísitölur og skildum aðeins eftir nauðsynlegar upplýsingar. Við hlóðum öllum þremur FortiWEB skránum inn í ELK og útkoman var vísitölur. Þetta eru skrár með öllum söfnuðum annálum á tímabili, til dæmis einn dag. Ef við myndum strax sjá þá myndum við aðeins sjá gangverki árásanna. Fyrir nánari upplýsingar þarftu að „falla í“ hverja árás og skoða ákveðna reiti.
Við gerðum okkur grein fyrir því að fyrst þurfum við að setja upp greiningu á óskipulögðum upplýsingum. Við tókum langa reiti í formi strengja, eins og „Skilaboð“ og „URL“, og þáttuðum þá til að fá frekari upplýsingar fyrir ákvarðanatöku.
Til dæmis, með því að nota þáttun, auðkenndum við staðsetningu notandans sérstaklega. Þetta hjálpaði til við að varpa ljósi á árásir erlendis frá á síður fyrir rússneska notendur. Með því að loka á allar tengingar frá öðrum löndum fækkuðum við árásum um helming og gátum með æðruleysi tekist á við árásir innan Rússlands.
Eftir þáttun fórum við að leita að hvaða upplýsingum ætti að geyma og sjá fyrir. Það var óraunhæft að skilja allt eftir í dagbókinni: stærð einnar vísitölu var stór - 7 GB. ELK tók langan tíma að vinna úr skránni. Hins vegar voru ekki allar upplýsingar gagnlegar. Eitthvað var afritað og tók aukapláss - það þurfti að hagræða.
Í fyrstu skönnuðum við einfaldlega vísitöluna og fjarlægðum óþarfa atburði. Þetta reyndist enn óþægilegra og lengra en að vinna með logs á FortiWeb sjálfum. Eini kosturinn við „jólatréð“ á þessu stigi er að við gátum séð fyrir okkur stóran tíma á einum skjá.
Við örvæntuðum ekki, héldum áfram að borða kaktus, lærðum ELK og trúðum því að við myndum geta dregið út nauðsynlegar upplýsingar. Eftir að hafa hreinsað vísitölurnar fórum við að sjá fyrir okkur hvað við áttum. Þannig komumst við að stórum mælaborðum. Við prófuðum nokkrar búnaður - sjónrænt og glæsilegt, alvöru jólatré!
Augnablik árásarinnar var skráð. Nú þurftum við að skilja hvernig upphaf árásar lítur út á línuritinu. Til að greina það skoðuðum við svör netþjónsins við notandanum (skilakóðar). Við höfðum áhuga á svörum netþjóna með eftirfarandi kóða (rc):
Kóði (rc)
Nafn
Lýsing
0
DROP
Lokað er á beiðnina til netþjónsins
200
Ok
Beiðni afgreidd með góðum árangri
400
Slæm beiðni
Ógild beiðni
403
Forboðna
Heimild hafnað
500
Innri Villa í vefþjóni
Þjónustan er ekki tiltæk
Ef einhver byrjaði að ráðast á síðuna breyttist hlutfall kóða:
- Ef það voru fleiri rangar beiðnir með kóða 400, en sami fjöldi venjulegra beiðna með kóða 200 var eftir, þýðir það að einhver hafi verið að reyna að hakka síðuna.
- Ef beiðnum með kóða 0 fjölgaði á sama tíma, þá „sáu“ stjórnmálamenn FortiWeb líka árásina og settu blokkir á hana.
- Ef skeytum með kóða 500 fjölgaði þýðir það að síðan er ekki tiltæk fyrir þessar IP tölur - líka eins konar blokkun.
Á þriðja mánuðinum höfðum við sett upp mælaborð til að fylgjast með slíkri virkni.
Til þess að fylgjast ekki með öllu handvirkt settum við upp samþættingu við Nagios, sem spurði ELK með ákveðnu millibili. Ef ég uppgötvaði þröskuldsgildi sem kóðar náðu, sendi ég tilkynningu til vaktstjóra um grunsamlegt athæfi.
Sameinuð 4 grafík í eftirlitskerfinu. Nú var mikilvægt að sjá á myndunum augnablikið þegar árásin var ekki læst og inngrip verkfræðings var þörf. Á 4 mismunandi kortum urðu augun óskýr. Þess vegna sameinuðum við töflurnar og fórum að fylgjast með öllu á einum skjá.
Við vöktun horfðum við á hvernig línurit af mismunandi litum breyttust. Rautt skvetta sýndi að árásin væri hafin, en appelsínugult og blátt graf sýndu viðbrögð FortiWeb:
Allt er í lagi hér: það var bylgja af „rauðu“ virkni, en FortiWeb tókst á við það og árásaráætlunin varð að engu.
Við teiknuðum líka fyrir okkur dæmi um línurit sem krefst inngrips:
Hér sjáum við að FortiWeb hefur aukið virkni en rauða árásargrafið hefur ekki minnkað. Þú þarft að breyta WAF stillingum þínum.
Rannsókn á næturatvikum hefur einnig orðið auðveldari. Grafið sýnir strax augnablikið þegar það er kominn tími til að koma til að vernda síðuna.
Þetta er það sem gerist stundum á nóttunni. Rautt graf – árásin er hafin. Blár – FortiWeb virkni. Árásin var ekki alveg lokuð þannig að ég varð að grípa inn í.
Hvert stefnum við?
Núna erum við að þjálfa vaktstjóra til að vinna með ELK. Þeir sem eru á vakt læra að meta ástandið á mælaborðinu og taka ákvörðun: það er kominn tími til að fara til FortiWeb sérfræðings, eða reglurnar um WAF nægja til að hrinda árásinni sjálfkrafa frá. Þannig minnkum við álag á upplýsingaöryggisverkfræðinga á nóttunni og skiptum stuðningshlutverkum á kerfisstigi. Aðgangur að FortiWeb er aðeins áfram hjá netvarnarmiðstöðinni og aðeins þeir gera breytingar á WAF stillingum þegar brýna nauðsyn krefur.
Einnig er unnið að skýrslugerð fyrir viðskiptavini. Við áætlum að gögn um gangverki WAF aðgerða verði aðgengileg á persónulegum reikningi viðskiptavinarins. ELK mun gera ástandið gagnsærra án þess að þurfa að hafa samband við WAF sjálft.
Ef viðskiptavinurinn vill fylgjast með vörn sinni í rauntíma mun ELK einnig koma sér vel. Við getum ekki veitt aðgang að WAF þar sem afskipti viðskiptavina af vinnunni geta haft áhrif á aðra. En þú getur tekið upp sérstakan ELK og gefið honum til að „leika“ með.
Þetta eru aðstæðurnar fyrir notkun „jólatrésins“ sem við höfum safnað að undanförnu. Deildu hugmyndum þínum um þetta mál og ekki gleyma til að forðast gagnagrunnsleka.
Heimild: www.habr.com