Наш центар за сајбер одбрану је одговоран за безбедност веб инфраструктуре клијената и одбија нападе на сајтове клијената. Користимо заштитне зидове ФортиВеб веб апликација (ВАФ) за заштиту од напада. Али чак ни најхладнији ВАФ није панацеја и не штити од циљаних напада.
Стога, поред ВАФ-а користимо . Помаже да се сви догађаји сакупе на једном месту, акумулира статистике, визуелизује их и омогућава нам да на време видимо циљани напад.
Данас ћу вам детаљније рећи како смо прешли „божићно дрвце“ са ВАФ-ом и шта је из тога произашло.
Прича о једном нападу: како је све функционисало пре преласка на ЕЛК
Клијент има апликацију распоређену у нашем облаку која стоји иза нашег ВАФ-а. Од 10 до 000 корисника дневно се прикључило на сајт, број конекција је достигао 100 милиона дневно. Од тога, 000-20 корисника су били нападачи и покушали су да хакују сајт.
ФортиВеб је прилично лако блокирао уобичајени облик грубе силе са једне ИП адресе. Број посета сајту у минути био је већи него код легитимних корисника. Једноставно смо поставили прагове активности са једне адресе и одбили напад.
Много је теже борити се против „спорих напада“, када нападачи делују споро и маскирају се у обичне клијенте. Они користе многе јединствене ИП адресе. Таква активност ВАФ-у није изгледала као огромна груба сила; било је теже пратити је аутоматски. Такође је постојао ризик од блокирања нормалних корисника. Тражили смо друге знакове напада и конфигурисали политику да аутоматски блокира ИП адресе на основу овог знака. На пример, многе нелегитимне сесије су имале заједничка поља у заглављима ХТТП захтева. Ова поља су често морала да се траже ручно у ФортиВеб евиденцији догађаја.
Испоставило се дуго и непријатно. У стандардној ФортиВеб функционалности, догађаји се бележе у тексту у 3 различита дневника: откривени напади, информације о захтеву и системске поруке о раду ВАФ-а. Десетине или чак стотине напада могу доћи за минут.
Не толико, али морате ручно да се пењете кроз неколико дневника и понављате кроз много редова:
У евиденцији напада видимо адресе корисника и природу активности.
Није довољно само скенирати табелу дневника. Да бисте пронашли најзанимљивије и најкорисније информације о природи напада, потребно је да погледате унутар одређеног догађаја:
Означена поља помажу да се открије „спори напад“. Извор: снимак екрана са .
Па, најважнији проблем је што само стручњак за ФортиВеб то може да схвати. Док смо током радног времена и даље могли да пратимо сумњиве активности у реалном времену, истрага ноћних инцидената би могла да потраје дуже. Када политике ФортиВеб-а из неког разлога нису функционисале, дежурни инжењери у ноћној смени нису били у стању да процене ситуацију без приступа ВАФ-у и пробудили су стручњака за ФортиВеб. Прегледали смо неколико сати дневника и пронашли тренутак напада.
Са таквим количинама информација, тешко је на први поглед разумети ширу слику и деловати проактивно. Тада смо одлучили да прикупимо податке на једном месту како бисмо све визуелно анализирали, пронашли почетак напада, идентификовали његов правац и начин блокирања.
Шта сте изабрали?
Пре свега, погледали смо решења која су већ у употреби како не бисмо непотребно умножавали ентитете.
Једна од првих опција је била Нагиоскоје користимо за праћење , , упозорења о ванредним ситуацијама. Заштитари га користе и да обавештавају дежурне у случају сумњивог саобраћаја, али не уме да сакупи разбацане трупце и зато више није потребан.
Постојала је опција да се све обједини користећи МиСКЛ и ПостгреСКЛ или друге релационе базе података. Али да бисте извукли податке, морали сте да креирате сопствену апликацију.
Наша компанија такође користи ФортиАнализер из Фортинета. Али то се није уклапало ни у овом случају. Прво, више је прилагођен за рад са заштитним зидом ФортиГате. Друго, недостајала су многа подешавања, а интеракција са њима је захтевала одлично познавање СКЛ упита. И треће, његово коришћење би повећало цену услуге за купца.
Тако смо дошли до отвореног кода у облику ЕЛК.
Зашто изабрати ЕЛК
ЕЛК је скуп програма отвореног кода:
- Еластицсеарцх – база података временских серија, која је посебно креирана за рад са великим количинама текста;
- Логстасх – механизам за прикупљање података који може да конвертује дневнике у жељени формат;
- Кибана – добар визуализатор, као и прилично пријатељски интерфејс за управљање Еластицсеарцх-ом. Можете га користити за прављење графикона које дежурни инжењери могу да прате ноћу.
Праг уласка у ЕЛК је низак. Све основне функције су бесплатне. Шта је још потребно за срећу?
Како смо све то спојили у један систем?
Направили смо индексе и оставили само потребне информације. Учитали смо сва три ФортиВЕБ дневника у ЕЛК и резултат су били индекси. Ово су датотеке са свим прикупљеним евиденцијама за одређени период, на пример, један дан. Када бисмо их одмах визуелизовали, видели бисмо само динамику напада. За детаље, морате „упасти“ у сваки напад и погледати одређена поља.
Схватили смо да прво треба да поставимо анализу неструктурираних информација. Узели смо дуга поља у облику стрингова, као што су „Мессаге“ и „УРЛ“, и анализирали их да бисмо добили више информација за доношење одлука.
На пример, користећи рашчлањивање, засебно смо идентификовали локацију корисника. Ово је помогло да се одмах истакну напади из иностранства на сајтове за руске кориснике. Блокирањем свих веза из других земаља смањили смо број напада за половину и могли мирно да се носимо са нападима унутар Русије.
Након рашчлањивања, почели смо да тражимо које информације да чувамо и визуелизујемо. Било је непрактично оставити све у часопису: величина једног индекса је била велика - 7 ГБ. ЕЛК-у је требало доста времена да обради датотеку. Међутим, нису све информације биле корисне. Нешто је дуплирано и заузимало додатни простор – требало је оптимизовати.
Прво смо једноставно скенирали индекс и уклонили непотребне догађаје. Испоставило се да је ово још незгодније и дуже од рада са евиденцијама на самом ФортиВеб-у. Једина предност „божићне јелке“ у овој фази је то што смо били у могућности да визуализујемо велики временски период на једном екрану.
Нисмо очајавали, наставили смо да једемо кактусе, проучавамо ЕЛК и веровали да ћемо успети да извучемо потребне информације. Након чишћења индекса, почели смо да визуализујемо шта имамо. Тако смо дошли до великих контролних табли. Испробали смо неке виџете - визуелно и елегантно, право божићно дрво!
Тренутак напада је снимљен. Сада је требало да разумемо како изгледа почетак напада на графикону. Да бисмо га открили, погледали смо одговоре сервера кориснику (повратни кодови). Били смо заинтересовани за одговоре сервера са следећим кодовима (рц):
код (рц)
Име
Опис
0
ДРОП
Захтев ка серверу је блокиран
200
Ok
Захтев је успешно обрађен
400
Лош захтев
Неважећи Упит
403
Забрањен
Ауторизација одбијена
500
Интернал Сервер Еррор
Услуга је недоступна
Ако је неко почео да напада сајт, однос кодова се променио:
- Ако је било више погрешних захтева са шифром 400, али је остао исти број нормалних захтева са шифром 200, то значи да је неко покушавао да хакује сајт.
- Ако су се у исто време повећали и захтеви са кодом 0, онда су и политичари ФортиВеб-а „видели“ напад и применили блокове на њега.
- Ако се број порука са кодом 500 повећао, то значи да је сајт недоступан за ове ИП адресе - такође врста блокаде.
До трећег месеца смо поставили контролну таблу за праћење такве активности.
Да не бисмо све пратили ручно, поставили смо интеграцију са Нагиосом, који је анкетирао ЕЛК у одређеним интервалима. Ако сам открио граничне вредности достигнуте кодовима, послао сам обавештење дежурним о сумњивој активности.
Комбиновано 4 графике у систему за надзор. Сада је било важно да се на графиконима види тренутак када напад није блокиран и потребна је интервенција инжењера. На 4 различите карте наше очи су се замаглиле. Стога смо комбиновали графиконе и почели да пратимо све на једном екрану.
Током мониторинга, гледали смо како се мењају графикони различитих боја. Прскање црвене боје показало је да је напад почео, док су наранџасти и плави графикони показали одговор ФортиВеб-а:
Овде је све у реду: дошло је до налета „црвене“ активности, али се ФортиВеб носио са тим и распоред напада је пропао.
Такође смо за себе нацртали пример графикона који захтева интервенцију:
Овде видимо да је ФортиВеб повећао активност, али се црвени графикон напада није смањио. Морате да промените подешавања ВАФ-а.
Истрага ноћних инцидената је такође постала лакша. Графикон одмах показује тренутак када је време да дођете да заштитите сајт.
То се понекад дешава ноћу. Црвени графикон – напад је почео. Плава – ФортиВеб активност. Напад није био потпуно блокиран, па сам морао да интервенишем.
куда идемо?
Тренутно обучавамо дежурне администраторе за рад са ЕЛК-ом. Они који су на дужности уче да процене ситуацију на контролној табли и донесу одлуку: време је да се обратите ФортиВеб стручњаку, или су смернице на ВАФ довољне да аутоматски одбију напад. На овај начин смањујемо оптерећење инжењера информационе безбедности ноћу и делимо улоге подршке на нивоу система. Приступ ФортиВеб-у остаје само са центром за сајбер одбрану, и само они мењају подешавања ВАФ-а када је то апсолутно неопходно.
Такође радимо на извештавању за купце. Планирамо да подаци о динамици рада ВАФ-а буду доступни на личном налогу клијента. ЕЛК ће учинити ситуацију транспарентнијом без потребе да контактира сам ВАФ.
Уколико купац жели да прати своју заштиту у реалном времену, ЕЛК ће такође добро доћи. Не можемо дати приступ ВАФ-у, јер мешање корисника у рад може утицати на друге. Али можете узети посебан ЕЛК и дати га да се са њим „игра“.
Ово су сценарији за коришћење „божићног дрвца“ које смо недавно сакупили. Поделите своје идеје о овом питању и не заборавите да би се избегло цурење базе података.
Извор: ввв.хабр.цом