MÅ«su kiberaizsardzÄ«bas centrs ir atbildÄ«gs par klienta tÄ«mekļa infrastruktÅ«ras droŔību un atvaira uzbrukumus klientu vietnÄm. Lai aizsargÄtu pret uzbrukumiem, mÄs izmantojam FortiWeb tÄ«mekļa lietojumprogrammu ugunsmÅ«rus (WAF). Bet pat stilÄ«gÄkais WAF nav panaceja un nepasargÄ "no kastes" no mÄrÄ·tiecÄ«giem uzbrukumiem.
TÄpÄc papildus WAF izmantojam
Å odien es jums pastÄstÄ«Å”u sÄ«kÄk, kÄ mÄs ŔķÄrsojÄm ZiemassvÄtku eglÄ«ti ar WAF un kas no tÄ sanÄca.
StÄsts par vienu uzbrukumu: kÄ viss darbojÄs pirms pÄrejas uz ELK
MÅ«su mÄkonÄ« klients ir izvietojis lietojumprogrammu aiz mÅ«su WAF. No 10 000 lÄ«dz 100 000 lietotÄju dienÄ pieslÄdzÄs vietnei, pieslÄgumu skaits sasniedza 20 miljonus dienÄ. No tiem 3-5 lietotÄji bija iebrucÄji un mÄÄ£inÄja uzlauzt vietni.
FortiWeb diezgan viegli bloÄ·Äja parasto brutÄlo spÄku no vienas IP adreses. Vietnes apmeklÄjumu skaits minÅ«tÄ bija lielÄks nekÄ likumÄ«go lietotÄju skaits. MÄs vienkÄrÅ”i iestatÄ«jÄm aktivitÄtes sliekÅ”Åus no vienas adreses un atvairÄm uzbrukumu.
Daudz grÅ«tÄk ir tikt galÄ ar "lÄnajiem uzbrukumiem", kad uzbrucÄji rÄ«kojas lÄni un maskÄjas par parastiem klientiem. ViÅi izmanto daudzas unikÄlas IP adreses. Å Äda darbÄ«ba WAF neŔķita pÄc milzÄ«ga brutÄla spÄka, to bija grÅ«tÄk izsekot automÄtiski. Un pastÄvÄja arÄ« risks bloÄ·Ät parastos lietotÄjus. MÄs meklÄjÄm citas uzbrukuma pazÄ«mes un izveidojÄm politiku automÄtiskai IP adreÅ”u bloÄ·ÄÅ”anai, pamatojoties uz Å”o zÄ«mi. PiemÄram, daudzÄm nelikumÄ«gÄm sesijÄm http pieprasÄ«juma galvenÄs bija kopÄ«gi lauki. Å Ädi lauki bieži bija jÄmeklÄ manuÄli FortiWeb notikumu žurnÄlos.
Tas kļuva garÅ” un neÄrti. FortiWeb standarta funkcionalitÄtÄ notikumi tiek ierakstÄ«ti tekstÄ 3 dažÄdos žurnÄlos: atklÄtie uzbrukumi, informÄcija par pieprasÄ«jumiem un sistÄmas ziÅojumi par WAF darbÄ«bu. VienÄ minÅ«tÄ var notikt desmitiem vai pat simtiem uzbrukumu.
Ne tik daudz, bet jums ir manuÄli jÄkÄpj cauri vairÄkiem žurnÄliem un jÄatkÄrto daudzÄs rindÄs:
Uzbrukuma žurnÄlÄ mÄs redzam lietotÄju adreses un darbÄ«bas veidu.
Nepietiek vienkÄrÅ”i skenÄt žurnÄla tabulu. Lai atrastu visinteresantÄko un noderÄ«gÄko par uzbrukuma bÅ«tÄ«bu, jums jÄielÅ«kojas konkrÄtÄ notikumÄ:
Izceltie lauki palÄ«dz noteikt "lÄnu uzbrukumu". Avots: ekrÄnuzÅÄmums no
GalvenÄ problÄma ir tÄ, ka to var izdomÄt tikai FortiWeb speciÄlists. Ja darba laikÄ vÄl varÄtu izsekot aizdomÄ«gÄm darbÄ«bÄm reÄllaikÄ, tad nakts incidentu izmeklÄÅ”ana varÄtu aizkavÄties. Kad FortiWeb politikas kaut kÄdu iemeslu dÄļ nedarbojÄs, dežurÄjoÅ”ie nakts maiÅas inženieri nevarÄja novÄrtÄt situÄciju bez piekļuves WAF un pamodinÄja FortiWeb speciÄlistu. VairÄkas stundas skatÄ«jÄmies baļķus un atradÄm uzbrukuma brÄ«di.
Ar Å”Ädu informÄcijas apjomu ir grÅ«ti Ä«sumÄ saprast kopÄjo ainu un rÄ«koties proaktÄ«vi. Tad mÄs nolÄmÄm apkopot datus vienuviet, lai visu analizÄtu vizuÄlÄ veidÄ, atrastu uzbrukuma sÄkumu, noteiktu tÄ virzienu un bloÄ·ÄÅ”anas metodi.
Kas tika izvÄlÄts
PirmkÄrt, mÄs apskatÄ«jÄm jau izmantotos risinÄjumus, lai nevajadzÄ«gi nepavairotos entÄ«tijas.
Viens no pirmajiem variantiem bija Nagiosko izmantojam, lai uzraudzītu
Bija iespÄja visu apvienot ar MySQL un PostgreSQL vai cita relÄciju datu bÄze. Bet, lai izvilktu datus, bija nepiecieÅ”ams noformÄt savu pieteikumu.
KÄ baļķu savÄcÄjs mÅ«su uzÅÄmumÄ viÅi arÄ« izmanto FortiAnalyzer no Fortinet. Bet Å”ajÄ gadÄ«jumÄ viÅÅ” arÄ« neiederÄjÄs. PirmkÄrt, tas ir vairÄk asinÄts darbam ar ugunsmÅ«ri FortiGate. OtrkÄrt, trÅ«ka daudzu iestatÄ«jumu, un mijiedarbÄ«bai ar to bija nepiecieÅ”amas lieliskas zinÄÅ”anas par SQL vaicÄjumiem. Un, treÅ”kÄrt, tÄ izmantoÅ”ana palielinÄtu pakalpojuma izmaksas klientam.
TÄ mÄs nonÄcÄm pie atvÄrtÄ avota sejÄ ELK.
KÄpÄc izvÄlÄties ELK
ELK ir atvÄrtÄ pirmkoda programmu kopums:
- Elastikas meklÄÅ”ana - laikrindu datu bÄze, kas tikko izveidota darbam ar lielu teksta apjomu;
- Logstash ā datu vÄkÅ”anas mehÄnisms, kas var pÄrvÄrst žurnÄlus vÄlamajÄ formÄtÄ;
- Kibana - labs vizualizÄtÄjs, kÄ arÄ« diezgan draudzÄ«gs interfeiss Elasticsearch pÄrvaldÄ«bai. Varat to izmantot, lai izveidotu grafikus, kurus dežurÄjoÅ”ie inženieri var uzraudzÄ«t naktÄ«.
ELK uzÅemÅ”anas slieksnis ir zems. Visas pamatfunkcijas ir bezmaksas. Kas vÄl vajadzÄ«gs laimei.
KÄ jÅ«s to visu apvienojÄt vienÄ sistÄmÄ?
Izveidoja indeksus un atstÄja tikai nepiecieÅ”amo informÄciju. MÄs ielÄdÄjÄm visus trÄ«s FortiWEB žurnÄlus ELK - izvade bija indeksi. Tie ir faili ar visiem savÄktajiem žurnÄliem par periodu, piemÄram, dienu. Ja mÄs tos uzreiz vizualizÄtu, tad redzÄtu tikai uzbrukumu dinamiku. Lai iegÅ«tu sÄ«kÄku informÄciju, jums ir jÄiekļaujas katrÄ uzbrukumÄ un jÄaplÅ«ko konkrÄti lauki.
MÄs sapratÄm, ka vispirms ir jÄiestata nestrukturÄtas informÄcijas parsÄÅ”ana. MÄs izmantojÄm garus laukus kÄ virknes, piemÄram, āZiÅojumsā un āURLā, un analizÄjÄm tos, lai iegÅ«tu vairÄk informÄcijas lÄmumu pieÅemÅ”anai.
PiemÄram, izmantojot parsÄÅ”anu, mÄs atseviŔķi izÅÄmÄm lietotÄja atraÅ”anÄs vietu. Tas palÄ«dzÄja nekavÄjoties izcelt uzbrukumus no ÄrvalstÄ«m Krievijas lietotÄju vietnÄm. BloÄ·Äjot visus savienojumus no citÄm valstÄ«m, mÄs samazinÄjÄm uzbrukumu skaitu 2 reizes un varÄjÄm viegli tikt galÄ ar uzbrukumiem Krievijas iekÅ”ienÄ.
PÄc parsÄÅ”anas viÅi sÄka meklÄt, kÄdu informÄciju uzglabÄt un vizualizÄt. Visu atstÄt žurnÄlÄ bija nepiemÄroti: viena indeksa izmÄrs bija liels - 7 GB. ELK faila apstrÄde prasÄ«ja ilgu laiku. TomÄr ne visa informÄcija bija noderÄ«ga. Kaut kas tika dublÄts un aizÅÄma papildu vietu - bija nepiecieÅ”ams optimizÄt.
SÄkumÄ mÄs vienkÄrÅ”i izskatÄ«jÄm indeksu un noÅÄmÄm nevajadzÄ«gos notikumus. Tas izrÄdÄ«jÄs vÄl neÄrtÄks un ilgÄks nekÄ darbs ar žurnÄliem paÅ”Ä FortiWeb. VienÄ«gais pluss no "ZiemassvÄtku eglÄ«tes" Å”ajÄ posmÄ ir tas, ka uz viena ekrÄna varÄjÄm vizualizÄt lielu laika posmu.
NekritÄm izmisumÄ, turpinÄjÄm Äst kaktusu un pÄtÄ«t ELK un ticÄjÄm, ka izdosies iegÅ«t nepiecieÅ”amo informÄciju. PÄc indeksu tÄ«rÄ«Å”anas mÄs sÄkÄm vizualizÄt, kas ir. TÄtad mÄs nonÄcÄm pie lieliem informÄcijas paneļiem. IebÄzÄm logrÄ«kus - vizuÄli un eleganti, Ä«sta ŠLKa!
NoÄ·erts uzbrukuma brÄ«dis. Tagad bija jÄsaprot, kÄ diagrammÄ izskatÄs uzbrukuma sÄkums. Lai to noteiktu, mÄs apskatÄ«jÄm servera atbildes lietotÄjam (atgrieÅ”anas kodus). MÅ«s interesÄja servera atbildes ar Å”Ädiem kodiem (rc):
Kods (rc)
Nosaukums
Apraksts
0
DROP
PieprasÄ«jums serverim ir bloÄ·Äts
200
Ok
PieprasÄ«jums veiksmÄ«gi apstrÄdÄts
400
Slikts pieprasījums
Slikts pieprasījums
403
Aizliegts
AutorizÄcija liegta
500
IekÅ”ÄjÄ servera kļūda
Pakalpojums nav pieejams
Ja kÄds sÄka uzbrukt vietnei, kodu attiecÄ«ba mainÄ«jÄs:
- Ja bija vairÄk kļūdainu pieprasÄ«jumu ar kodu 400 un tikpat daudz parastu pieprasÄ«jumu ar kodu 200, tad kÄds mÄÄ£inÄja uzlauzt vietni.
- Ja tajÄ paÅ”Ä laikÄ pieauga arÄ« pieprasÄ«jumi ar kodu 0, tad arÄ« FortiWeb politiÄ·i "redzÄja" uzbrukumu un piemÄroja tam blokus.
- Ja palielinÄjÄs ziÅojumu skaits ar kodu 500, tad vietne Ŕīm IP adresÄm nav pieejama - arÄ« sava veida bloÄ·ÄÅ”ana.
TreÅ”ajÄ mÄnesÄ« mÄs bijÄm izveidojuÅ”i informÄcijas paneli Ŕīs darbÄ«bas izsekoÅ”anai.
Lai nepÄrraudzÄ«tu visu manuÄli, mÄs uzstÄdÄ«jÄm integrÄciju ar Nagios, kas noteiktos intervÄlos aptaujÄja ELK. Ja tas fiksÄja sliekÅ”Åa vÄrtÄ«bu sasniegÅ”anu pÄc kodiem, tas nosÅ«tÄ«ja dežurantiem paziÅojumu par aizdomÄ«gu darbÄ«bu.
ApvienotÄs 4 diagrammas uzraudzÄ«bas sistÄmÄ. Tagad bija svarÄ«gi grafikos redzÄt brÄ«di, kad uzbrukums nav bloÄ·Äts un nepiecieÅ”ama inženiera iejaukÅ”anÄs. 4 dažÄdos grafikos mÅ«su acs bija aizmiglota. TÄpÄc mÄs apvienojÄm diagrammas un sÄkÄm visu novÄrot vienÄ ekrÄnÄ.
UzraudzÄ«bÄ mÄs vÄrojÄm, kÄ mainÄs dažÄdu krÄsu diagrammas. Sarkanas krÄsas uzliesmojums norÄdÄ«ja, ka uzbrukums ir sÄcies, savukÄrt oranžie un zilie grafiki rÄdÄ«ja FortiWeb reakciju:
Å eit viss ir kÄrtÄ«bÄ: bija "sarkano" aktivitÄÅ”u uzliesmojums, taÄu FortiWeb tika galÄ un uzbrukuma grafiks kļuva tukÅ”s.
MÄs arÄ« izveidojÄm diagrammas piemÄru, kurÄ nepiecieÅ”ama iejaukÅ”anÄs:
Å eit redzams, ka FortiWeb aktivitÄte ir palielinÄjusies, bet sarkanais uzbrukuma grafiks nav samazinÄjies. Jums jÄmaina WAF iestatÄ«jumi.
ArÄ« nakts incidentu izmeklÄÅ”ana ir kļuvusi vienkÄrÅ”Äka. GrafikÄ uzreiz redzams brÄ«dis, kad pienÄcis laiks Ä·erties pie vietnes aizstÄvÄ«bas.
TÄ dažreiz notiek naktÄ«s. Sarkanais grafiks - uzbrukums ir sÄcies. Zils - FortiWeb darbÄ«ba. Uzbrukums nebija pilnÄ«bÄ bloÄ·Äts, nÄcÄs iejaukties.
Kur mÄs ejam
Tagad mÄs apmÄcÄm dežūras administratorus darbam ar ELK. Dežuranti mÄcÄs novÄrtÄt situÄciju informÄcijas panelÄ« un pieÅemt lÄmumu: ir pienÄcis laiks vÄrsties pie FortiWeb speciÄlista, vai arÄ« pietiks ar WAF politikÄm, lai automÄtiski atvairÄ«tu uzbrukumu. TÄdÄ veidÄ mÄs samazinÄm droŔības inženieru slodzi naktÄ« un sadalÄm atbalsta lomas sistÄmas lÄ«menÄ«. Piekļuve FortiWeb paliek tikai kiberaizsardzÄ«bas centram, un tikai viÅi veic izmaiÅas WAF iestatÄ«jumos, kad tas ir steidzami nepiecieÅ”ams.
MÄs strÄdÄjam arÄ« pie klientu ziÅoÅ”anas. PlÄnojam, ka dati par WAF darba dinamiku bÅ«s pieejami klienta personÄ«gajÄ kontÄ. ELK padarÄ«s situÄciju skaidrÄku bez nepiecieÅ”amÄ«bas atsaukties uz paÅ”u WAF.
Ja klients vÄlas uzraudzÄ«t savu aizsardzÄ«bu reÄllaikÄ, noderÄs arÄ« ELK. MÄs nevaram atdot piekļuvi WAF, jo klienta iejaukÅ”anÄs darbÄ var ietekmÄt pÄrÄjo. Bet jÅ«s varat paÅemt atseviŔķu ELK un nodot to "paspÄlÄties".
TÄdi ir pÄdÄjÄ laikÄ sakrÄjuÅ”ies ZiemassvÄtku eglÄ«tes izmantoÅ”anas scenÄriji. Dalieties savÄs domÄs par to un neaizmirstiet
Avots: www.habr.com