Iċ-ċentru tad-difiża ċibernetika tagħna huwa responsabbli għas-sigurtà tal-infrastruttura tal-web tal-klijenti u jneħħi l-attakki fuq is-siti tal-klijenti. Aħna nużaw FortiWeb web application firewalls (WAF) biex nipproteġu kontra l-attakki. Iżda anke l-aktar WAF cool mhuwiex rimedju u ma jipproteġix barra mill-kaxxa minn attakki mmirati.
Għalhekk, minbarra l-WAF nużaw . Jgħin biex jiġbor l-avvenimenti kollha f'post wieħed, jakkumula statistika, jivviżwalizzahom u jippermettilna naraw attakk immirat fil-ħin.
Illum ngħidilkom f’aktar dettall kif qsamna s-“siġra tal-Milied” mal-WAF u x’ħarġu minnha.
L-istorja ta 'attakk wieħed: kif kollox ħadem qabel it-tranżizzjoni għal ELK
Il-klijent għandu applikazzjoni skjerata fil-cloud tagħna li hija wara l-WAF tagħna. Minn 10 sa 000 utent konnessi mas-sit kuljum, in-numru ta 'konnessjonijiet laħaq 100 miljun kuljum. Minn dawn, 000-20 utenti kienu attakkanti u ppruvaw hack-sit.
FortiWeb imblokka l-forma ta 'forza bruta tas-soltu minn indirizz IP wieħed pjuttost faċilment. In-numru ta 'hits kull minuta għas-sit kien ogħla minn dak ta' utenti leġittimi. Aħna sempliċiment stabbilixxew limiti ta 'attività minn indirizz wieħed u neħħejna l-attakk.
Huwa ħafna aktar diffiċli li tiġġieled "attakki bil-mod", meta l-attakkanti jaġixxu bil-mod u jaħbu lilhom infushom bħala klijenti ordinarji. Huma jużaw ħafna indirizzi IP uniċi. Attività bħal din ma dehritx qisha forza brutali massiva għall-WAF; kien aktar diffiċli li tiġi segwita awtomatikament. Kien hemm ukoll riskju li jiġu mblukkati utenti normali. Fittixna sinjali oħra ta’ attakk u kkonfigurajna politika biex timblokka awtomatikament l-indirizzi IP bbażati fuq dan is-sinjal. Pereżempju, ħafna sessjonijiet illeġittimi kellhom oqsma komuni fl-intestaturi tat-talba HTTP. Dawn l-oqsma spiss kellhom jiġu mfittxija manwalment fir-reġistri tal-avvenimenti FortiWeb.
Irriżulta twil u skomdu. Fil-funzjonalità standard ta 'FortiWeb, l-avvenimenti huma rreġistrati fit-test fi 3 reġistri differenti: attakki skoperti, rikjesta ta' informazzjoni, u messaġġi tas-sistema dwar l-operat tal-WAF. Għexieren jew saħansitra mijiet ta 'avvenimenti ta' attakk jistgħu jaslu f'minuta.
Mhux daqshekk, imma trid titla' manwalment minn diversi zkuk u ttenni minn ħafna linji:
Fir-reġistru tal-attakki naraw l-indirizzi tal-utenti u n-natura tal-attività.
Mhuwiex biżżejjed li sempliċement tiskennja t-tabella tar-reġistru. Biex issib l-aktar informazzjoni interessanti u utli dwar in-natura tal-attakk, trid tħares ġewwa avveniment speċifiku:
L-oqsma enfasizzati jgħinu biex jinstab "attakk bil-mod". Sors: screenshot minn .
Ukoll, l-aktar problema importanti hija li speċjalista ta 'FortiWeb biss jista' jifhem dan. Filwaqt li matul il-ħinijiet tax-xogħol xorta nistgħu nissorveljaw attività suspettuża f'ħin reali, l-investigazzjoni dwar inċidenti ta' billejl tista' tieħu aktar żmien. Meta l-politiki ta 'FortiWeb ma ħadmux għal xi raġuni, l-inġiniera tax-xift ta' bil-lejl fuq ix-xogħol ma setgħux jivvalutaw is-sitwazzjoni mingħajr aċċess għall-WAF u qajmu lill-ispeċjalista FortiWeb. Fittixna diversi sigħat ta’ zkuk u sibna l-mument tal-attakk.
B'tali volumi ta 'informazzjoni, huwa diffiċli li wieħed jifhem l-istampa l-kbira mal-ewwel daqqa t'għajn u jaġixxi b'mod proattiv. Imbagħad iddeċidejna li niġbru d-dejta f'post wieħed sabiex nanalizzaw kollox f'forma viżwali, insibu l-bidu tal-attakk, nidentifikaw id-direzzjoni u l-metodu tal-imblukkar tiegħu.
Minn xiex għażilt?
L-ewwelnett, ħares lejn is-soluzzjonijiet li diġà qed jintużaw biex ma mmultiplikax l-entitajiet bla bżonn.
Waħda mill-ewwel għażliet kienet Nagiosli nużaw għall-monitoraġġ , , twissijiet dwar sitwazzjonijiet ta' emerġenza. Il-gwardjani tas-sigurtà jużawha wkoll biex jinnotifikaw lill-uffiċjali ta’ dmirijiet f’każ ta’ traffiku suspettuż, iżda ma tkunx taf kif tiġbor zkuk imxerrda u għalhekk m’għadhiex meħtieġa.
Kien hemm għażla li aggregat kollox bl-użu MySQL u PostgreSQL jew database relazzjonali oħra. Iżda sabiex tiġbed id-dejta, kellek toħloq l-applikazzjoni tiegħek stess.
Il-kumpanija tagħna tuża wkoll FortiAnalyzer minn Fortinet. Iżda lanqas f'dan il-każ ma jaqbilx. L-ewwelnett, huwa aktar imfassal biex jaħdem ma 'firewall FortiGate. It-tieni nett, ħafna settings kienu neqsin, u l-interazzjoni magħha kienet teħtieġ għarfien eċċellenti tal-mistoqsijiet SQL. U t-tielet, l-użu tiegħu jżid l-ispiża tas-servizz għall-klijent.
Dan huwa kif wasalna għal sors miftuħ fil-forma ta ELK.
Għaliex tagħżel ELK
ELK huwa sett ta' programmi open source:
- Elasticsearch – database ta' serje ta' żmien, li nħolqot speċifikament biex taħdem ma' volumi kbar ta' test;
- logstash – mekkaniżmu ta' ġbir ta' data li jista' jikkonverti zkuk fil-format mixtieq;
- kibana – viżwalizzatur tajjeb, kif ukoll interface pjuttost faċli għall-ġestjoni ta 'Elasticsearch. Tista 'tużaha biex tibni graphs li l-inġiniera fuq xogħol jistgħu jimmonitorjaw bil-lejl.
Il-limitu tad-dħul għal ELK huwa baxx. Il-karatteristiċi bażiċi kollha huma b'xejn. X'hemm bżonn ieħor għall-kuntentizza?
Kif għamilna kollox flimkien f'sistema waħda?
Ħloqna indiċi u ħallejna biss l-informazzjoni meħtieġa. We loaded it-tliet zkuk FortiWEB f'ELK u l-output kien indiċi. Dawn huma fajls biż-zkuk kollha miġbura għal perjodu, pereżempju, kuljum. Jekk aħna immedjatament viżwalizzawhom, naraw biss id-dinamika tal-attakki. Għad-dettalji, għandek bżonn "taqa 'f'" kull attakk u tħares lejn oqsma speċifiċi.
Irrealizzajna li l-ewwel irridu nwaqqfu l-analiżi ta 'informazzjoni mhux strutturata. Ħadna oqsma twal fil-forma ta 'kordi, bħal "Messaġġ" u "URL", u parsajnahom biex niksbu aktar informazzjoni għat-teħid tad-deċiżjonijiet.
Pereżempju, bl-użu tal-parsing, aħna identifikajna separatament il-post tal-utent. Dan għen biex immedjatament jenfasizzaw attakki minn barra fuq siti għall-utenti Russi. Bl-imblukkar tal-konnessjonijiet kollha minn pajjiżi oħra, naqqasna n-numru ta 'attakki bin-nofs u stajna bil-kalma nittrattaw attakki ġewwa r-Russja.
Wara l-parsing, bdejna nfittxu liema informazzjoni naħżnu u nħarsu. Ma kienx prattiku li tħalli kollox fil-ġurnal: id-daqs ta 'indiċi wieħed kien kbir - 7 GB. ELK ħa ħafna żmien biex jipproċessa l-fajl. Madankollu, mhux l-informazzjoni kollha kienet utli. Xi ħaġa kienet duplikata u ħadet spazju żejjed - kellha bżonn tiġi ottimizzata.
Għall-ewwel aħna sempliċement skennjajna l-indiċi u neħħejna avvenimenti mhux meħtieġa. Dan irriżulta li kien saħansitra aktar inkonvenjenti u itwal milli jaħdem bi zkuk fuq FortiWeb innifsu. L-uniku vantaġġ tas-"siġra tal-Milied" f'dan l-istadju huwa li stajna nħaffu perjodu kbir ta 'żmien fuq skrin wieħed.
Ma ddisprajniex, komplejna nieklu l-kaktus, nistudjaw lil ELK u emmnu li nkunu nistgħu nieħdu l-informazzjoni meħtieġa. Wara li tnaddaf l-indiċi, bdejna nħarsu lejn dak li kellna. Hekk wasalna għal dashboards kbar. Ippruvajna xi widgets - viżwalment u eleganti, siġra tal-Milied reali!
Il-mument tal-attakk ġie rreġistrat. Issa kellna nifhmu kif jidher il-bidu ta 'attakk fuq il-graff. Biex tiskopriha, ħares lejn it-tweġibiet tas-server lill-utent (kodiċijiet tar-ritorn). Konna interessati fit-tweġibiet tas-server bil-kodiċijiet li ġejjin (rc):
Kodiċi (rc)
Isem
Deskrizzjoni
0
QATT
It-talba lis-server hija mblukkata
200
Ok
Talba pproċessata b'suċċess
400
Talba ħażina
Talba mhux valida
403
Projbit
Awtorizzazzjoni miċħuda
500
Error Server Intern
Is-servizz mhux disponibbli
Jekk xi ħadd beda jattakka s-sit, il-proporzjon tal-kodiċijiet inbidel:
- Jekk kien hemm aktar talbiet żbaljati bil-kodiċi 400, iżda baqa 'l-istess numru ta' talbiet normali bil-kodiċi 200, dan ifisser li xi ħadd kien qed jipprova jħakkja s-sit.
- Jekk fl-istess ħin żdiedu wkoll it-talbiet bil-kodiċi 0, allura l-politiċi ta 'FortiWeb "raw" ukoll l-attakk u applikaw blokki għalih.
- Jekk in-numru ta 'messaġġi bil-kodiċi 500 żdied, dan ifisser li s-sit mhuwiex disponibbli għal dawn l-indirizzi IP - ukoll tip ta' imblukkar.
Sat-tielet xahar, konna waqqafna dashboard biex issegwi attività bħal din.
Sabiex ma nissorveljawx kollox manwalment, waqqafna l-integrazzjoni ma 'Nagios, li stħarriġ ELK f'ċerti intervalli. Jekk sibt valuri ta' limitu milħuqa mill-kodiċi, bgħatt notifika lill-uffiċjali ta' dmirijiet dwar attività suspettuża.
Magħquda 4 grafika fis-sistema ta 'monitoraġġ. Issa kien importanti li wieħed jara fuq il-graffs il-mument meta l-attakk ma kienx imblukkat u kien meħtieġ intervent ta 'inġinier. Fuq 4 charts differenti għajnejna mċajpra. Għalhekk, għaqqadna ċ-ċarts u bdejna nissorveljaw kollox fuq skrin wieħed.
Waqt il-monitoraġġ, rajna kif inbidlu graffs ta’ kuluri differenti. It-titjira ħamra wriet li l-attakk kien beda, filwaqt li l-grafiċi oranġjo u blu wrew ir-rispons ta’ FortiWeb:
Kollox huwa tajjeb hawn: kien hemm żieda qawwija ta 'attività "aħmar", iżda FortiWeb ilaħħqu magħha u l-iskeda tal-attakk spiċċat fix-xejn.
Ġibna wkoll għalina nfusna eżempju ta’ graff li jeħtieġ intervent:
Hawnhekk naraw li FortiWeb żied l-attività, iżda l-graff tal-attakk aħmar ma naqasx. Għandek bżonn tibdel is-settings tal-WAF tiegħek.
L-investigazzjoni ta’ inċidenti bil-lejl sar aktar faċli wkoll. Il-grafika immedjatament turi l-mument meta wasal iż-żmien li tiġi biex tipproteġi s-sit.
Dan huwa dak li kultant jiġri bil-lejl. Graff aħmar - l-attakk beda. Blu – Attività FortiWeb. L-attakk ma kienx imblukkat għal kollox, għalhekk kelli nintervjeni.
Fejn sejrin?
Bħalissa qed nitħarrġu amministraturi ta' dmirijiet biex jaħdmu ma' ELK. Dawk li huma fid-dmir jitgħallmu jevalwaw is-sitwazzjoni fuq id-dashboard u jieħdu deċiżjoni: wasal iż-żmien li teskala għal speċjalista FortiWeb, jew il-politiki fuq il-WAF huma biżżejjed biex awtomatikament jirripellaw l-attakk. B'dan il-mod innaqqsu t-tagħbija fuq l-inġiniera tas-sigurtà tal-informazzjoni bil-lejl u naqsmu r-rwoli ta 'appoġġ fil-livell tas-sistema. L-aċċess għal FortiWeb jibqa 'biss maċ-ċentru tad-difiża ċibernetika, u huma biss jagħmlu bidliet fis-settings tal-WAF meta assolutament meħtieġ.
Qed naħdmu wkoll fuq ir-rappurtar għall-klijenti. Aħna nippjanaw li d-dejta dwar id-dinamika tal-operat tal-WAF tkun disponibbli fil-kont personali tal-klijent. ELK se jagħmel is-sitwazzjoni aktar trasparenti mingħajr ma jkollu għalfejn jikkuntattja lill-WAF innifsu.
Jekk il-klijent irid jimmonitorja l-protezzjoni tagħhom f'ħin reali, ELK se jkun utli wkoll. Ma nistgħux nagħtu aċċess għal WAF, peress li l-interferenza tal-klijent fix-xogħol tista' taffettwa lil ħaddieħor. Imma tista 'taqbad ELK separat u tagħtiha biex "tilgħab" magħha.
Dawn huma x-xenarji għall-użu tas-"siġra tal-Milied" li akkumulajna reċentement. Aqsam l-ideat tiegħek dwar din il-kwistjoni u tinsiex biex jiġu evitati tnixxijiet tad-database.
Sors: www.habr.com