Qendra jonë e mbrojtjes kibernetike është përgjegjëse për sigurinë e infrastrukturës së internetit të klientit dhe zmbraps sulmet në faqet e klientëve. Për t'u mbrojtur nga sulmet, ne përdorim FortiWeb Web Application Firewalls (WAF). Por edhe WAF më i lezetshëm nuk është një ilaç dhe nuk mbron "jashtë kutisë" nga sulmet e synuara.
Prandaj, përveç WAF, ne përdorim . Ndihmon për të mbledhur të gjitha ngjarjet në një vend, grumbullon statistika, i vizualizon ato dhe na lejon të shohim një sulm të synuar në kohë.
Sot do t'ju tregoj më në detaje se si e kaluam pemën e Krishtlindjes me WAF dhe çfarë erdhi prej saj.
Historia e një sulmi: si funksionoi gjithçka përpara se të kalonte në ELK
Në renë tonë, klienti ka vendosur aplikacionin pas WAF tonë. Nga 10 deri në 000 përdorues të lidhur në faqe në ditë, numri i lidhjeve arriti në 100 milionë në ditë. Nga këta, 000-20 përdorues ishin ndërhyrës dhe u përpoqën të hakojnë faqen.
Forca e zakonshme brutale nga një adresë IP u bllokua nga FortiWeb mjaft lehtë. Numri i vizitave në sit në minutë ishte më i lartë se ai i përdoruesve të ligjshëm. Ne thjesht vendosëm pragjet e aktivitetit nga një adresë dhe zmbrapsëm sulmin.
Është shumë më e vështirë të përballesh me "sulmet e ngadalta", kur sulmuesit veprojnë ngadalë dhe maskohen si klientë të zakonshëm. Ata përdorin shumë adresa IP unike. Një aktivitet i tillë nuk dukej si një forcë brutale masive për WAF, ishte më e vështirë për ta gjurmuar atë automatikisht. Dhe ekzistonte gjithashtu rreziku i bllokimit të përdoruesve normalë. Ne kërkuam shenja të tjera të një sulmi dhe vendosëm një politikë për bllokimin automatik të adresave IP bazuar në këtë shenjë. Për shembull, shumë seanca të paligjshme kishin fusha të përbashkëta në titujt e kërkesës http. Shpesh ju është dashur të kërkoni për fusha të tilla manualisht në regjistrat e ngjarjeve të FortiWeb.
U bë e gjatë dhe e pakëndshme. Në funksionalitetin standard të FortiWeb, ngjarjet regjistrohen në tekst në 3 regjistra të ndryshëm: sulme të zbuluara, informacione rreth kërkesave dhe mesazhe të sistemit rreth funksionimit të WAF. Dhjetra apo edhe qindra ngjarje sulmi mund të vijnë në një minutë.
Jo aq shumë, por ju duhet të ngjiteni manualisht nëpër disa shkrime dhe të përsërisni në shumë rreshta:
Në regjistrin e sulmeve, ne shohim adresat e përdoruesve dhe natyrën e aktivitetit.
Nuk mjafton thjesht të skanoni tabelën e regjistrave. Për të gjetur më interesantet dhe më të dobishmet në lidhje me natyrën e sulmit, duhet të shikoni brenda një ngjarjeje specifike:
Fushat e theksuara ndihmojnë për të zbuluar "sulmin e ngadaltë". Burimi: screenshot nga .
Epo, problemi kryesor është se vetëm një specialist i FortiWeb mund ta kuptojë atë. Nëse gjatë orarit të punës ne ende mund të gjurmojmë aktivitetin e dyshimtë në kohë reale, atëherë hetimi i incidenteve të natës mund të vonohet. Kur politikat e FortiWeb nuk funksionuan për ndonjë arsye, inxhinierët e turnit të natës në detyrë nuk mund ta vlerësonin situatën pa akses në WAF dhe zgjuan specialistin e FortiWeb. Kemi kërkuar disa orë nëpër trungje dhe kemi gjetur momentin e sulmit.
Me vëllime të tilla informacioni, është e vështirë të kuptosh pamjen e madhe me një shikim dhe të veprosh në mënyrë proaktive. Pastaj vendosëm të mbledhim të dhëna në një vend në mënyrë që të analizojmë gjithçka në një formë vizuale, të gjejmë fillimin e sulmit, të identifikojmë drejtimin dhe mënyrën e bllokimit të tij.
Nga çfarë keni zgjedhur
Para së gjithash, ne shikuam zgjidhjet tashmë në përdorim, në mënyrë që të mos shumëzojmë entitetet në mënyrë të panevojshme.
Një nga opsionet e para ishte Nagiostë cilat ne i përdorim për të monitoruar , , alarme emergjente. Rojet e sigurisë e përdorin gjithashtu për të njoftuar shoqëruesit në rast trafiku të dyshimtë, por ai nuk di të mbledhë trungje të ndryshme dhe për këtë arsye zhduket.
Kishte një mundësi për të grumbulluar gjithçka MySQL dhe PostgreSQL ose një bazë tjetër të dhënash relacionale. Por për të nxjerrë të dhënat, ishte e nevojshme të gdhendni aplikacionin tuaj.
Si një grumbullues trungjesh në kompaninë tonë ata përdorin gjithashtu FortiAnalyzer nga Fortinet. Por në këtë rast, ai gjithashtu nuk përshtatej. Së pari, është më e mprehtë të punosh me një mur zjarri FortiGate. Së dyti, mungonin shumë cilësime dhe ndërveprimi me të kërkonte njohuri të shkëlqyera të pyetjeve SQL. Dhe së treti, përdorimi i tij do të rriste koston e shërbimit për klientin.
Kështu erdhëm në burim të hapur në fytyrë ELK.
Pse të zgjidhni ELK
ELK është një grup programesh me burim të hapur:
- Elasticsearch - një bazë të dhënash të serive kohore, e cila sapo u krijua për të punuar me vëllime të mëdha teksti;
- logstash – një mekanizëm për mbledhjen e të dhënave që mund të konvertojë regjistrat në formatin e dëshiruar;
- kibana - një vizualizues i mirë, si dhe një ndërfaqe mjaft miqësore për menaxhimin e Elasticsearch. Mund ta përdorni për të ndërtuar orare që mund të monitorohen nga inxhinierët e shërbimit gjatë natës.
Pragu i hyrjes për ELK është i ulët. Të gjitha tiparet bazë janë falas. Çfarë tjetër nevojitet për lumturinë.
Si i keni bashkuar të gjitha në një sistem?
Krijoi indekse dhe la vetëm informacionin e nevojshëm. Ne ngarkuam të tre regjistrat e FortiWEB në ELK - dalja ishte indekse. Këto janë skedarë me të gjitha regjistrat e mbledhur për një periudhë, për shembull, një ditë. Nëse i vizualizonim menjëherë, do të shihnim vetëm dinamikën e sulmeve. Për detaje, ju duhet të "kaloni" në çdo sulm dhe të shikoni në fusha specifike.
Kuptuam se së pari duhet të vendosim analizën e informacionit të pastrukturuar. Ne morëm fusha të gjata si vargje, si "Mesazhi" dhe "URL" dhe i analizuam ato për të marrë më shumë informacion për vendimmarrje.
Për shembull, duke përdorur analizimin, ne hoqëm vendndodhjen e përdoruesit veçmas. Kjo ndihmoi që menjëherë të theksohen sulmet nga jashtë në faqet e përdoruesve rusë. Duke bllokuar të gjitha lidhjet nga vendet e tjera, ne reduktuam numrin e sulmeve me 2 herë dhe mund të përballeshim lehtësisht me sulmet brenda Rusisë.
Pas analizimit, ata filluan të kërkonin çfarë informacioni të ruanin dhe të vizualizonin. Lënia e gjithçkaje në regjistër ishte e papërshtatshme: madhësia e një indeksi ishte e madhe - 7 GB. ELK-së iu desh shumë kohë për të përpunuar dosjen. Megjithatë, jo të gjitha informacionet ishin të dobishme. Diçka u dyfishua dhe zuri hapësirë shtesë - ishte e nevojshme të optimizohej.
Në fillim, ne thjesht shikuam indeksin dhe hoqëm ngjarjet e panevojshme. Kjo doli të ishte edhe më e papërshtatshme dhe më e gjatë sesa të punosh me regjistrat në vetë FortiWeb. E vetmja plus nga "pema e Krishtlindjeve" në këtë fazë është se ne mundëm të vizualizonim një periudhë të madhe kohe në një ekran.
Ne nuk u dëshpëruam, vazhduam të hanim kaktusin dhe të studionim ELK dhe besuam se do të arrinim të nxjerrim informacionin e nevojshëm. Pas pastrimit të indekseve, filluam të vizualizojmë atë që është. Kështu arritëm te tabelat e mëdha të kontrollit. Ne hodhëm miniaplikacione - vizualisht dhe elegante, një ЁLKa e vërtetë!
Kapur momentin e sulmit. Tani ishte e nevojshme të kuptonim se si duket fillimi i sulmit në tabelë. Për ta zbuluar atë, ne shikuam përgjigjet e serverit ndaj përdoruesit (kodet e kthimit). Ne ishim të interesuar për përgjigjet e serverit me kode të tilla (rc):
Kodi (rc)
Emër
Përshkrim
0
R DNI
Kërkesa për serverin është e bllokuar
200
Ok
Kërkesa u përpunua me sukses
400
Kerkese e keqe
Kerkese e keqe
403
I ndaluar
Autorizimi u refuzua
500
Gabim i brendshëm i serverit
Shërbimi është i padisponueshëm
Nëse dikush filloi të sulmonte sitin, raporti i kodeve ndryshoi:
- Nëse kishte më shumë kërkesa të gabuara me kodin 400, dhe të njëjtin numër kërkesash normale me kodin 200, atëherë dikush po përpiqej të hakonte faqen.
- Nëse në të njëjtën kohë rriteshin edhe kërkesat me kodin 0, atëherë sulmin e “panë” edhe politikanët e FortiWeb dhe i aplikuan blloqe.
- Nëse numri i mesazheve me kodin 500 është rritur, atëherë faqja nuk është e disponueshme për këto adresa IP - gjithashtu një lloj bllokimi.
Në muajin e tretë, ne kishim ngritur një panel kontrolli për të gjurmuar këtë aktivitet.
Për të mos monitoruar gjithçka manualisht, ne vendosëm integrimin me Nagios, i cili anketoi ELK në intervale të caktuara. Nëse regjistronte arritjen e vlerave të pragut me kode, u dërgonte njoftim nëpunësve për aktivitet të dyshimtë.
Kombinuar 4 grafikët në sistemin e monitorimit. Tani ishte e rëndësishme të shihej në grafikët momenti kur sulmi nuk bllokohet dhe duhet ndërhyrja e një inxhinieri. Në 4 grafikë të ndryshëm, syri ynë ishte i turbullt. Prandaj, ne kombinuam tabelat dhe filluam të vëzhgonim gjithçka në një ekran.
Në monitorim, ne shikuam se si ndryshojnë grafikët me ngjyra të ndryshme. Një shpërthim i kuq tregonte se sulmi kishte filluar, ndërsa grafikët portokalli dhe blu tregonin reagimin e FortiWeb:
Gjithçka është në rregull këtu: pati një rritje të aktivitetit "të kuq", por FortiWeb ia doli dhe orari i sulmeve u hodh.
Ne gjithashtu vizatuam për vete një shembull të një grafiku që kërkon ndërhyrje:
Këtu mund të shohim që FortiWeb ka rritur aktivitetin, por grafiku i sulmit të kuq nuk është ulur. Ju duhet të ndryshoni cilësimet WAF.
Hetimi i incidenteve të natës është bërë gjithashtu më i lehtë. Grafiku tregon menjëherë momentin kur është koha për të dalë në mbrojtje të faqes.
Kështu ndodh ndonjëherë natën. Grafiku i kuq - sulmi ka filluar. Blu - Aktiviteti FortiWeb. Sulmi nuk u bllokua plotësisht, duhej të ndërhynim.
Ku po shkojme
Tani po trajnojmë administratorët e detyrës për të punuar me ELK-në. Pjesëmarrësit mësojnë të vlerësojnë situatën në panel dhe të marrin një vendim: është koha për t'u përshkallëzuar te një specialist i FortiWeb, ose politikat në WAF do të jenë të mjaftueshme për të zmbrapsur automatikisht sulmin. Pra, ne zvogëlojmë ngarkesën e inxhinierëve të sigurisë së informacionit gjatë natës dhe ndajmë rolet në mbështetje në nivel sistemi. Qasja në FortiWeb mbetet vetëm me qendrën e mbrojtjes kibernetike dhe vetëm ata bëjnë ndryshime në cilësimet e WAF kur nevojitet urgjentisht.
Ne po punojmë gjithashtu për raportimin për klientët. Ne planifikojmë që të dhënat mbi dinamikën e punës së WAF të jenë të disponueshme në llogarinë personale të klientit. ELK do ta bëjë më të qartë situatën pa qenë nevoja t'i referohemi vetë WAF.
Nëse klienti dëshiron të monitorojë mbrojtjen e tij në kohë reale, ELK do të jetë gjithashtu i dobishëm. Ne nuk mund të heqim dorë nga aksesi në WAF, pasi ndërhyrja e klientit në punë mund të ndikojë në pjesën tjetër. Por ju mund të merrni një ELK të veçantë dhe ta jepni për të "luajtur".
Këta janë skenarët e përdorimit të pemës së Krishtlindjes që kemi grumbulluar së fundmi. Ndani mendimet tuaja për këtë dhe mos harroni për të shmangur rrjedhjet e bazës së të dhënave.
Burimi: www.habr.com