Pusat pertahanan cyber kita tanggung jawab kanggo keamanan infrastruktur web klien lan ngusir serangan ing situs klien. Kita nggunakake firewall aplikasi web FortiWeb (WAF) kanggo nglindhungi saka serangan. Nanging sanajan WAF sing paling keren dudu panacea lan ora nglindhungi saka serangan sing ditargetake.
Mulane, saliyane WAF kita nggunakake . Iku mbantu kanggo ngumpulake kabeh acara ing sak panggonan, accumulates statistik, visualizes lan ngidini kita kanggo ndeleng serangan diangkah ing wektu.
Dina iki aku bakal pitutur marang kowe luwih rinci carane kita nyabrang "wit Natal" karo WAF lan apa metu saka iku.
Crita siji serangan: carane kabeh bisa digunakake sadurunge transisi menyang ELK
Pelanggan duwe aplikasi sing dipasang ing awan sing ana ing mburi WAF. Saka 10 nganti 000 pangguna sing disambungake menyang situs saben dina, jumlah sambungan tekan 100 yuta saben dina. Saka jumlah kasebut, 000-20 pangguna minangka penyerang lan nyoba hack situs kasebut.
FortiWeb mblokir formulir brute force sing biasa saka siji alamat IP kanthi gampang. Jumlah hit saben menit menyang situs luwih dhuwur tinimbang pangguna sing sah. Kita mung nyetel ambang aktivitas saka siji alamat lan ngusir serangan kasebut.
Luwih angel nglawan "serangan alon," nalika panyerang tumindak alon-alon lan nyamar dadi klien biasa. Dheweke nggunakake akeh alamat IP unik. Kegiatan kasebut ora katon kaya kekuwatan gedhe kanggo WAF; luwih angel dilacak kanthi otomatis. Ana uga risiko ngalangi pangguna normal. Kita nggoleki pratandha liyane saka serangan lan ngatur kabijakan kanggo mblokir alamat IP kanthi otomatis adhedhasar tandha iki. Contone, akeh sesi sing ora sah duwe lapangan umum ing header request HTTP. Kolom kasebut asring kudu digoleki kanthi manual ing log acara FortiWeb.
Ternyata dawa lan ora kepenak. Ing fungsi standar FortiWeb, acara dicathet ing teks ing 3 log sing beda: serangan sing dideteksi, informasi panjaluk, lan pesen sistem babagan operasi WAF. Welasan utawa malah atusan acara serangan bisa teka ing menit.
Ora akeh, nanging sampeyan kudu kanthi manual menek liwat sawetara log lan iterate liwat akeh baris:
Ing log serangan kita ndeleng alamat pangguna lan sifat kegiatan.
Ora cukup mung mindhai tabel log. Kanggo nemokake informasi sing paling menarik lan migunani babagan sifat serangan, sampeyan kudu nggoleki ing acara tartamtu:
Kothak sing disorot mbantu ndeteksi "serangan alon". Sumber: screenshot saka .
Ya, masalah sing paling penting yaiku mung spesialis FortiWeb sing bisa ngerteni iki. Nalika sajrone jam kerja, kita isih bisa ngawasi kegiatan sing curiga ing wektu nyata, penyelidikan babagan kedadeyan ing wayah wengi bisa luwih suwe. Nalika kawicaksanan FortiWeb ora bisa ditindakake kanthi alesan, insinyur shift wengi sing tugas ora bisa netepake kahanan kasebut tanpa akses menyang WAF lan nggugah spesialis FortiWeb. Kita katon liwat sawetara jam log lan nemokake wayahe serangan.
Kanthi volume informasi kasebut, angel ngerti gambaran gedhe ing pandang sepisanan lan tumindak kanthi proaktif. Banjur kita mutusake kanggo ngumpulake data ing sak panggonan supaya bisa nganalisa kabeh ing wangun visual, nemokake awal serangan, ngenali arah lan cara pamblokiran.
Sampeyan milih saka apa?
Kaping pisanan, kita ndeleng solusi sing wis digunakake supaya ora nambah entitas sing ora perlu.
Salah siji opsi pisanan ana Nagiossing digunakake kanggo ngawasi , , tandha babagan kahanan darurat. Pengawal keamanan uga digunakake kanggo menehi kabar marang petugas yen ana lalu lintas sing curiga, nanging ora ngerti carane ngumpulake log sing kasebar lan mulane ora perlu maneh.
Ana pilihan kanggo nglumpukake kabeh nggunakake MySQL lan PostgreSQL utawa database relasional liyane. Nanging kanggo narik data, sampeyan kudu nggawe aplikasi sampeyan dhewe.
Perusahaan kita uga nggunakake FortiAnalyzer saka Fortinet. Nanging uga ora pas ing kasus iki. Kaping pisanan, luwih cocog kanggo nggarap firewall FortiGate. Kapindho, akeh setelan sing ilang, lan interaksi kasebut mbutuhake kawruh babagan pitakon SQL. Lan kaping telune, panggunaane bakal nambah biaya layanan kanggo pelanggan.
Iki carane kita teka kanggo mbukak sumber ing wangun ELK.
Kenapa milih ELK
ELK minangka kumpulan program sumber terbuka:
- Elasticsearch - database seri wektu, sing digawe khusus kanggo nggarap volume teks sing akeh;
- Logstash - mekanisme ngumpulake data sing bisa ngowahi log menyang format sing dikarepake;
- kibana - visualizer sing apik, uga antarmuka sing cukup ramah kanggo ngatur Elasticsearch. Sampeyan bisa nggunakake aplikasi kasebut kanggo nggawe grafik sing bisa dipantau dening insinyur ing wayah wengi.
Ambang entri menyang ELK kurang. Kabeh fitur dhasar gratis. Apa maneh sing dibutuhake kanggo rasa seneng?
Kepiye carane kita nggabungake kabeh dadi siji sistem?
Kita nggawe indeks lan mung ninggalake informasi sing dibutuhake. Kita dimuat kabeh telung FortiWEB log menyang ELK lan output ana indeks. Iki minangka file kanthi kabeh log sing diklumpukake sajrone wektu, contone, sedina. Yen kita langsung nggambarake, kita mung bakal weruh dinamika serangan kasebut. Kanggo rincian, sampeyan kudu "tiba ing" saben serangan lan katon ing lapangan tartamtu.
Kita nyadari yen pisanan kita kudu nyiyapake analisis informasi sing ora terstruktur. We njupuk kolom dawa ing wangun strings, kayata "Pesen" lan "URL", lan parsed kanggo njupuk informasi liyane kanggo nggawe keputusan.
Contone, nggunakake parsing, kita njupuk lokasi pangguna kanthi kapisah. Iki mbantu langsung nyorot serangan saka luar negeri ing situs kanggo pangguna Rusia. Kanthi ngalangi kabeh sambungan saka negara liya, kita nyuda jumlah serangan nganti setengah lan kanthi tenang bisa ngatasi serangan ing Rusia.
Sawise parsing, dheweke wiwit nggoleki informasi apa sing kudu disimpen lan digambarake. Ora praktis kanggo ninggalake kabeh ing jurnal: ukuran siji indeks gedhe - 7 GB. ELK butuh wektu suwe kanggo ngolah file kasebut. Nanging, ora kabeh informasi migunani. Ana sing diduplikasi lan njupuk ruang ekstra - perlu kanggo ngoptimalake.
Kaping pisanan, kita mung mindhai indeks lan mbusak acara sing ora perlu. Iki dadi luwih ora trep lan luwih suwe tinimbang nggarap log ing FortiWeb dhewe. Kauntungan mung saka "wit Natal" ing tahap iki yaiku kita bisa nggambarake wektu sing akeh ing layar siji.
Kita ora kentekan niat, terus mangan kaktus, sinau ELK lan percaya yen kita bakal bisa ngekstrak informasi sing dibutuhake. Sawise ngresiki indeks, kita wiwit nggambarake apa sing ana. Iki carane kita teka dashboards amba. Kita nyoba sawetara widget - kanthi visual lan elegan, wit Natal sing nyata!
Wayahe serangan kasebut direkam. Saiki sampeyan kudu ngerti carane awal serangan katon ing grafik. Kanggo ndeteksi, kita ndeleng respon server marang pangguna (kode bali). Kita kasengsem ing respon server kanthi kode kasebut (rc):
Kode (rc)
Judhul
Description
0
TUTUP
Panjaluk menyang server diblokir
200
Ok
Panjaluk kasil diproses
400
Panjaluk sing ala
Panjaluk ora sah
403
pareng
Wewenang ditolak
500
Kesalahan server internal
Layanan ora kasedhiya
Yen ana sing miwiti nyerang situs kasebut, rasio kode diganti:
- Yen ana panjalukan liyane sing salah karo kode 400, nanging jumlah panjalukan normal sing padha karo kode 200 tetep, tegese ana sing nyoba hack situs kasebut.
- Yen ing wektu sing padha panjaluk karo kode 0 uga tambah, banjur politisi FortiWeb uga "ndeleng" serangan kasebut lan ngetrapake blok kasebut.
- Yen jumlah pesen kanthi kode 500 tambah, tegese situs kasebut ora kasedhiya kanggo alamat IP kasebut - uga minangka pamblokiran.
Ing sasi katelu, kita wis nyiyapake dashboard kanggo nglacak kegiatan kasebut.
Supaya ora ngawasi kabeh kanthi manual, kita nyiyapake integrasi karo Nagios, sing polling ELK ing interval tartamtu. Yen aku ndeteksi nilai ambang sing digayuh kode, aku ngirim kabar menyang petugas tugas babagan kegiatan sing curiga.
Gabungan 4 grafis ing sistem ngawasi. Saiki penting kanggo ndeleng ing grafik nalika serangan kasebut ora diblokir lan intervensi insinyur dibutuhake. Ing 4 bagan beda mripat kita burem. Mulane, kita gabungke grafik lan wiwit ngawasi kabeh ing layar siji.
Sajrone ngawasi, kita mirsani carane grafik saka macem-macem werna diganti. Percikan abang nuduhake yen serangan wis diwiwiti, dene grafik oranye lan biru nuduhake respon FortiWeb:
Kabeh apik ing kene: ana kegiatan "abang", nanging FortiWeb ngatasi lan jadwal serangan dadi ora ana.
Kita uga nggambar conto grafik sing mbutuhake intervensi:
Ing kene kita weruh yen FortiWeb wis nambah aktivitas, nanging grafik serangan abang ora suda. Sampeyan kudu ngganti setelan WAF.
Investigasi kedadean wengi uga dadi luwih gampang. Grafik kasebut langsung nuduhake wektu nalika wektune kanggo nglindhungi situs kasebut.
Iki sing kadhangkala kedadeyan ing wayah wengi. Grafik abang - serangan wis diwiwiti. Biru - Aktivitas FortiWeb. Serangan kasebut ora rampung diblokir, mula aku kudu campur tangan.
Kita arep menyang ngendi?
Saiki kita lagi latihan administrator tugas kanggo nggarap ELK. Wong-wong sing tugas sinau kanggo netepake kahanan ing dashboard lan nggawe keputusan: iku wektu kanggo escalate menyang spesialis FortiWeb, utawa kawicaksanan ing WAF cukup kanggo otomatis ngusir serangan. Kanthi cara iki, kita nyuda beban insinyur keamanan informasi ing wayah wengi lan mbagi peran dhukungan ing tingkat sistem. Akses menyang FortiWeb tetep mung karo pusat pertahanan cyber, lan mung ngganti setelan WAF yen pancen perlu.
Kita uga nggarap laporan kanggo pelanggan. Kita rencana yen data babagan dinamika operasi WAF bakal kasedhiya ing akun pribadi klien. ELK bakal nggawe kahanan luwih transparan tanpa kudu ngubungi WAF dhewe.
Yen pelanggan pengin ngawasi proteksi ing wektu nyata, ELK uga bakal migunani. Kita ora bisa menehi akses menyang WAF, amarga campur tangan pelanggan ing karya bisa mengaruhi wong liya. Nanging sampeyan bisa Pick munggah ELK kapisah lan menehi kanggo "muter" karo.
Iki minangka skenario kanggo nggunakake "wit Natal" sing wis diklumpukake bubar. Nuduhake gagasan babagan perkara iki lan aja lali supaya database bocor.
Source: www.habr.com