Eise Cyber Verteidegungszentrum ass verantwortlech fir d'Sécherheet vun der Webinfrastruktur vun de Clienten a repetéiert Attacken op Clientsiten. Mir benotzen FortiWeb Web Applikatioun Firewalls (WAF) fir géint Attacken ze schützen. Awer och déi coolst WAF ass keng Panacea a schützt net aus der Këscht vu geziilten Attacken.
Dofir, zousätzlech zu WAF mir benotzen . Et hëlleft all Eventer op enger Plaz ze sammelen, Statistiken sammelen, se visualiséieren an erlaabt eis e geziilten Attack an der Zäit ze gesinn.
Haut erzielen ech Iech méi am Detail wéi mir de "Chrëschtbam" mam WAF gekräizt hunn a wat doraus erauskomm ass.
D'Geschicht vun engem Attentat: wéi alles virum Iwwergank op ELK geschafft huet
De Client huet eng Applikatioun an eiser Cloud ofgebaut déi hannert eisem WAF ass. Vun 10 bis 000 Benotzer verbonne mat der Säit pro Dag, d'Zuel vun de Verbindungen erreecht 100 Milliounen pro Dag. Vun dësen waren 000-20 Benotzer Ugräifer a probéiert de Site ze hacken.
FortiWeb blockéiert déi üblech brute Force Form vun enger IP Adress ganz einfach. D'Zuel vun Hits pro Minutt op de Site war méi héich wéi déi vun legitim Benotzer. Mir hunn einfach Aktivitéitsschwelle vun enger Adress gesat an d'Attack ofgestouss.
Et ass vill méi schwéier "luesen Attacken" ze bekämpfen, wann Ugräifer lues handelen a sech als gewéinlech Clienten verkleeden. Si benotzen vill eenzegaarteg IP Adressen. Esou Aktivitéit huet net wéi eng massiv brute Kraaft fir WAF ausgesinn; et war méi schwéier et automatesch ze verfolgen. Et besteet och e Risiko fir normal Benotzer ze blockéieren. Mir hunn no aner Unzeeche vun engem Attack gesicht an eng Politik konfiguréiert fir automatesch IP Adressen op Basis vun dësem Schëld ze blockéieren. Zum Beispill hu vill illegitime Sessiounen gemeinsam Felder an den HTTP-Ufro-Header. Dës Felder hu missen dacks manuell an FortiWeb Event Logbicher gesicht ginn.
Et huet sech laang an onwuel erausgestallt. An der Standard FortiWeb Funktionalitéit ginn d'Evenementer am Text an 3 verschiddene Logbicher opgeholl: entdeckt Attacken, Ufro Informatioun a Systemmeldungen iwwer WAF Operatioun. Dosende oder souguer Honnerte vun Attack Eventer kënnen an enger Minutt ukommen.
Net sou vill, awer Dir musst manuell duerch verschidde Logbicher klammen an duerch vill Linnen iteréieren:
Am Attack Log gesi mir Benotzeradressen an d'Natur vun der Aktivitéit.
Et ass net genuch fir einfach de Logtabel ze scannen. Fir déi interessantst an nëtzlech Informatioun iwwer d'Natur vum Attack ze fannen, musst Dir an engem spezifeschen Event kucken:
Déi markéiert Felder hëllefen e "luesen Attack" z'entdecken. Quell: Screenshot vun .
Gutt, de wichtegste Problem ass datt nëmmen e FortiWeb Spezialist dëst erausfanne kann. Wärend mir an der Aarbechtszäit nach ëmmer verdächteg Aktivitéit an Echtzäit iwwerwaache kënnen, kann d'Enquête vun Nuetszäiten méi laang daueren. Wann d'FortiWeb Politik aus irgendege Grënn net funktionnéiert hunn, konnten d'Nuetsschichtingenieuren op Flicht d'Situatioun ouni Zougang zum WAF net bewäerten an hunn de FortiWeb Spezialist erwächt. Mir hunn duerch e puer Stonnen Logbicher gekuckt an de Moment vum Attack fonnt.
Mat esou Bänn vun Informatioun ass et schwéier de grousse Bild op den éischte Bléck ze verstoen an proaktiv ze handelen. Dunn hu mir beschloss Daten op enger Plaz ze sammelen fir alles an enger visueller Form ze analyséieren, den Ufank vum Attack ze fannen, seng Richtung a Blockéierungsmethod z'identifizéieren.
Wat hutt Dir gewielt?
Als éischt hu mir d'Léisungen déi scho benotzt goufen, gekuckt fir net onnéideg Entitéiten ze multiplizéieren.
Eng vun den éischten Optiounen war Nagiosdéi mir fir Iwwerwaachung benotzen , , Alarmer iwwer Noutsituatiounen. D'Sécherheetsleit benotzen et och fir d'Pflicht Offizéier am Fall vu verdächtege Verkéier z'informéieren, awer et weess net wéi se verspreet Logbicher sammelen an ass dofir net méi gebraucht.
Et war eng Optioun fir alles ze aggregéieren benotzt MySQL a PostgreSQL oder aner relational Datebank. Awer fir Daten erauszezéien, musst Dir Är eege Applikatioun erstellen.
Eis Firma benotzt och FortiAnalyzer vum Fortinet. Mä et huet och an dësem Fall net gepasst. Als éischt ass et méi ugepasst fir mat enger Firewall ze schaffen FortiGate. Zweetens hu vill Astellunge gefeelt, an d'Interaktioun domat erfuerdert exzellent Wëssen iwwer SQL Ufroen. An drëttens, seng Notzung géif d'Käschte vum Service fir de Client erhéijen.
Dëst ass wéi mir op Open Source a Form vun ELK.
Firwat wielen ELK
ELK ass eng Rei vun Open Source Programmer:
- Elastikerzuch - eng Zäitserie-Datebank, déi speziell erstallt gouf fir mat groussem Textvolumen ze schaffen;
- logstash - en Datesammlungsmechanismus dee Logbicher an dat gewënschte Format konvertéiere kann;
- kibana - e gudde Visualizer, souwéi e relativ frëndlechen Interface fir Elasticsearch ze managen. Dir kënnt et benotze fir Grafike ze bauen déi d'Ingenieuren op Flicht an der Nuecht iwwerwaache kënnen.
Den Entréesschwell fir ELK ass niddereg. All Basisfeatures si gratis. Wat ass nach néideg fir Gléck?
Wéi hu mir dat alles an engem eenzege System zesummegesat?
Mir hunn Indexen erstallt an nëmmen déi néideg Informatioun hannerlooss. Mir hunn all dräi FortiWEB Logbicher an ELK gelueden an d'Ausgab war Indexen. Dëst sinn Dateie mat all gesammelten Logbicher fir eng Period, zum Beispill en Dag. Wa mir se direkt visualiséieren, wäerte mir nëmmen d'Dynamik vun den Attacken gesinn. Fir Detailer musst Dir all Attack "falen" a spezifesch Felder kucken.
Mir hu gemierkt datt mir als éischt d'Analyse vun onstrukturéierter Informatioun mussen opsetzen. Mir hunn laang Felder a Form vu Strings geholl, wéi "Message" an "URL", an hunn se parséiert fir méi Informatioun ze kréien fir d'Entscheedung ze huelen.
Zum Beispill, mat Parsing, hu mir de Standuert vum Benotzer getrennt identifizéiert. Dëst huet gehollef fir direkt Attacken aus dem Ausland op Site fir russesch Benotzer ze markéieren. Duerch d'Blockéierung vun all Verbindungen aus anere Länner, hu mir d'Zuel vun den Attentater ëm d'Halschent reduzéiert a konnte roueg mat Attacken a Russland ëmgoen.
Nom Parsing hu mir ugefaang no wéi eng Informatioun ze späicheren an ze visualiséieren. Et war onpraktesch alles am Journal ze verloossen: d'Gréisst vun engem Index war grouss - 7 GB. ELK huet laang gedauert fir de Fichier ze veraarbecht. Wéi och ëmmer, net all Informatioun war nëtzlech. Eppes gouf duplizéiert an huet extra Plaz opgeholl - et muss optimiséiert ginn.
Am Ufank hu mir den Index einfach gescannt an onnéideg Eventer ewechgeholl. Dëst huet sech nach méi onbequem a méi laang erausgestallt wéi mat Logbicher op FortiWeb selwer ze schaffen. Deen eenzege Virdeel vum "Chrëschtbam" op dëser Etapp ass, datt mir eng grouss Zäitperiod op engem Écran visualiséieren konnten.
Mir hunn eis net verzweifelt, weider Kaktus giess, ELK studéiert a gegleeft datt mir déi néideg Informatioune géifen extrahéieren. Nodeems mir d'Indexe gebotzt hunn, hu mir ugefaang ze visualiséieren wat mir haten. Dëst ass wéi mir op grouss Dashboards komm sinn. Mir hunn e puer Widgets probéiert - visuell an elegant, e richtege Chrëschtbeemchen!
De Moment vun der Attack gouf opgeholl. Elo musse mir verstoen wéi den Ufank vun engem Attack op der Grafik ausgesäit. Fir et z'entdecken, hu mir d'Äntwerten vum Server op de Benotzer gekuckt (Retourcodes). Mir waren interesséiert Server Äntwerte mat de folgende Coden (rc):
Code (rc)
Titelen
Beschreiwung
0
EROP
D'Ufro un de Server ass blockéiert
200
Ok
Ufro erfollegräich veraarbecht
400
Falsch Ufro
Ongülteg Ufro
403
Verbueden
Autorisatioun refuséiert
500
Interne Serverfehler
Service ass net verfügbar
Wann iergendeen ugefaang huet de Site ze attackéieren, huet de Verhältnis vu Coden geännert:
- Wann et méi falsch Ufroe mam Code 400 waren, awer déi selwecht Zuel vun normalen Ufroe mam Code 200 bliwwen ass, heescht et datt een probéiert de Site ze hacken.
- Wann gläichzäiteg Ufroe mam Code 0 och eropgaange sinn, dann hunn d'FortiWeb Politiker och d'Attack "gesi" an hunn d'Blocker drop ugewannt.
- Wann d'Zuel vun de Messagen mam Code 500 eropgeet, heescht et datt de Site net verfügbar ass fir dës IP Adressen - och eng Aart vu Blockéierung.
Vum drëtte Mount hu mir en Dashboard opgeriicht fir sou Aktivitéit ze verfolgen.
Fir net alles manuell ze iwwerwaachen, hu mir d'Integratioun mat Nagios ageriicht, déi d'ELK a gewëssen Intervalle gepréift hunn. Wann ech Schwellwäerter festgestallt hunn, déi duerch Coden erreecht goufen, hunn ech eng Notifikatioun un d'Flichtoffizéier iwwer verdächteg Aktivitéit geschéckt.
Kombinéiert 4 Grafiken am Iwwerwachungssystem. Elo war et wichteg op de Grafiken de Moment ze gesinn, wou d'Attack net blockéiert war an d'Interventioun vun engem Ingenieur gebraucht gouf. Op 4 verschidden Charts sinn eis Aen verschwonn. Dofir hu mir d'Charts kombinéiert an ugefaang alles op engem Écran ze iwwerwaachen.
Wärend der Iwwerwaachung hu mir gekuckt wéi Grafike vu verschiddene Faarwen geännert hunn. E Splash vu rout huet gewisen datt d'Attack ugefaang huet, während orange a blo Grafiken dem FortiWeb seng Äntwert gewisen hunn:
Alles ass gutt hei: et war e Stroum vun "rout" Aktivitéiten, awer FortiWeb huet et gekëmmert an den Attackeplang ass näicht.
Mir hunn och fir eis selwer e Beispill vun enger Grafik gezeechent déi Interventioun erfuerdert:
Hei gesi mir datt FortiWeb d'Aktivitéit erhéicht huet, awer de roude Attacke Grafik ass net erofgaang. Dir musst Är WAF Astellunge änneren.
D'Enquête vun Nuetsfäll ass och méi einfach ginn. D'Grafik weist direkt de Moment wou et Zäit ass fir de Site ze schützen.
Dëst ass wat heiansdo an der Nuecht geschitt. Roude Grafik - d'Attack huet ugefaang. Blo - FortiWeb Aktivitéit. D'Attack war net ganz blockéiert, also hunn ech missen intervenéieren.
Wou gi mer hin?
Mir trainéieren de Moment Pflicht Administrateuren fir mat ELK ze schaffen. Déi am Flicht léieren d'Situatioun um Dashboard ze bewäerten an eng Entscheedung ze treffen: et ass Zäit fir e FortiWeb Spezialist ze eskaléieren, oder d'Politik op der WAF si genuch fir automatesch en Attack ofzewieren. Op dës Manéier reduzéiere mir d'Laascht op Informatiounssécherheetsingenieuren an der Nuecht a verdeelen Supportrollen um Systemniveau. Den Zougang zu FortiWeb bleift nëmme mam Cyber Verteidegungszentrum, an nëmmen si maachen Ännerungen un WAF Astellungen wann absolut néideg.
Mir schaffen och un Berichterstattung fir Clienten. Mir plangen datt Daten iwwer d'Dynamik vun der WAF Operatioun am perséinleche Kont vum Client verfügbar sinn. D'ELK wäert d'Situatioun méi transparent maachen ouni de WAF selwer ze kontaktéieren.
Wann de Client hire Schutz an Echtzäit iwwerwaache wëllt, kënnt ELK och nëtzlech. Mir kënnen den Zougang zu WAF net ginn, well d'Clientinterferenz an der Aarbecht kann anerer beaflossen. Awer Dir kënnt eng separat ELK ophuelen an et ginn fir mat ze "spillen".
Dëst sinn d'Szenarie fir de "Chrëschtbam" ze benotzen, dee mir viru kuerzem gesammelt hunn. Deelt Är Iddien iwwer dës Matière a vergiesst net Datebank Leckage ze vermeiden.
Source: will.com