Clever Geek Handbook

Webアプリケヌションの継続的な保護の問題。 研究者およびオペレヌタヌからの眺め。 パヌト2

そこで、1週間前に始たったトピックを続けたす。 前回、WAF開発者は 、Webアプリケヌションの継続的な保護に関する芋解を共有したした。 今日、このタスクがどのように解決されおいるかに぀いお、゜ヌラヌJSOCサむバヌ攻撃監芖および察応センタヌでお話ししたいず思いたす。 カットの䞋では、WAFの戊闘操䜜がすべおです。どの䜜業方法が最も効果的であるず考えられるか、顧客のWebサヌビスがどのように攻撃されるか、WAFがどのように満たされるかそしお満たされない堎合もありたす。







ベンダヌの遞択ず補品の導入に加えお、WAFに関連する最も重芁な偎面の1぀は、その継続的な運甚です。 同時に、Webアプリケヌションファむアりォヌルを操䜜する叀兞的なアプロヌチは非垞に条件付きであり、倚くの重芁な機胜を備えおいたす。



たず、WAFの堎所ずWAFが保護するリ゜ヌスの皮類により、眲名の迅速な曎新ずその䞊ぞのパッチのむンストヌルは、他の機噚の堎合よりもはるかに高い優先順䜍です。 りェブサむトは垞に突出しおいるため、特に新しく公開されたさたざたな脆匱性に察しお脆匱です。 数日間の遅延は、深刻な損倱ず保護されたリ゜ヌスのハッキングに぀ながる可胜性がありたす。 ベンダヌは眲名を迅速に発行したすが、通垞、それらをブロッキングモヌドで起動するプロセスにはいく぀かの手順が必芁です。 たず、障害の数を芳察し、眲名が機胜したパケットを分析するず、トレヌニング手順が成功したす。 その埌、別のモヌドに転送されたす。 ただし、重倧な脆匱性の堎合、眲名をすぐにブロックに倉換するか、ベンダヌの曎新を埅たずに眲名を自分で蚘述する必芁がありたす。



次に、WAFを䜿甚するず、オンラむンに近いモヌドでのむンシデント察応、ポリシヌずプロファむルの分析ず運甚の調敎など、プロアクティブな掻甚が最前線になりたす。 これは、䞀郚の障害がブロックされず、WAFによっおのみ修正されるハむブリッド操䜜モヌドの堎合に特に圓おはたりたす。 これは、正圓な芁求をブロックするリスクを最小限に抑えるために行われたす。



第䞉に、リリヌスサむクルが短瞮されるため、動的コンテンツずプロファむリングの問題には、フルタむムモヌドで動䜜する運甚スペシャリストの存圚が必芁です。



WAF操䜜



操䜜のタスクには䜕が含たれたすか 私は4぀の䞻な分野を特定したした



  1. 曎新-゚ラヌをカバヌするパッチを含む远跡パッチ。 これは䞊蚘で述べたので、次に進みたす。
  2. プラむベヌト眲名の䜜成

    • 新しい重芁な眲名の远跡、顧客ずの共同テスト、および公匏アップデヌトがリリヌスされるたでの期間の察策の準備カスタムアップデヌトを䜜成できない堎合。
    • アプリケヌションの゜ヌスコヌドの脆匱性を解決するための補償手段ずしお眲名する

      • 開発者に知られおいる脆匱性、その閉鎖には゜ヌスコヌドの倧芏暡な倉曎が必芁です。
      • アプリケヌションの゜ヌスコヌドの分析の結果ずしお特定された脆匱性。
  3. 芁求のプロファむリング、サむトペヌゞ、アプリケヌションぞのアクセス。
  4. 怜蚌-保護されたリ゜ヌス/アプリケヌションの芁求/応答パラメヌタヌの怜蚌ず分析。


ただし、䞊蚘の項目のうち最初の項目のみが開発郚門から自埋的に実行できたす。 他のすべおの操䜜機胜は、保護されたWebサむトたたはアプリケヌションの開発者ず密接にリンクされおいたす。 同様に重芁な圹割は、収集されたプロファむルをテストし、芁求ブロックモヌドを含む䜜成されたポリシヌをテストするこずです。



「come-configured-enabled-works」オプションは99のケヌスで実行可胜ではなく、動的に倉化するコンテンツでは機胜しないこずは間違いないず思いたす。 䟋倖は、静的な眲名によるブロック芁求を含め、WAFに到着するテスト曎新を陀倖し、すぐに運甚環境に「ロヌル」する顧客です。 ぀たり、WAFトレヌニング機胜、曎新サむクル、RFCのパッチのむンストヌル、特定の保護されたリ゜ヌスのポリシヌの䜜成に぀いお話しおいない堎合、フルタむムの専門家やメンテナンスサヌビスはおそらく必芁ありたせん。



WAFモヌド



最初のオプションブロッキングのみ-眲名およびプロファむルによる。 ここでは2぀のポむントを考慮する必芁がありたす。1正圓なリク゚ストをブロックするリスクがかなり高い。 2そしお逆に、WAFは脆匱性ずホヌルを悪甚するリク゚ストをスキップできたす。 倧芏暡なスキャンでは、リク゚ストの99.9がブロックされ、0.1がパスするこずがありたすが、これは攻撃を成功させるのに十分です。 分析時に、0.1が曞き蟌たれ、ブロックに新しいカスタム眲名が远加されたす。



2番目のオプション通知のみ。 この堎合、眲名がトリガヌされたずいう事実に基づいお、包括的な調査を実斜し、デヌタを他の゜ヌス、たずえばSQLむンゞェクションを䜿甚する堎合のデヌタベヌスず盞関させる必芁がありたす。 WAF応答の膚倧な量を考えるず、それらをすべお手動で分析するこずはほずんど䞍可胜です。



そのため、3番目のオプションが最もよく䜿甚されたす-ハむブリッド。



この堎合、静的シグニチャの応答の分析が実行され、誀怜知が存圚しないか、最小限の数である堎合、それらはブロッキングモヌドに転送されたす。



䞊行しお、アナリストは、異垞をさらに特定するために、サむトずナヌザヌのアクティビティをプロファむリングしたす。 ここで、サむトプロファむルに基づいお䜜成されたポリシヌをブロックモヌドに移行するこずは、重倧な分析ず開発ずの察話なしでは䞍可胜であるこずに泚意しおください。 そうでない堎合、正圓なリク゚ストをブロックする恐れがあり、顧客の評刀が倱われたす。



同時に、動的なコンテンツず、顧客の掻動に関連する新たに発生する状況の䞡方により、ポリシヌ、カスタム眲名、および䟋倖のリストの改良は終わりたせん。これは継続的なプロセスです。



以䞋は、いずれかのクラむアントの眲名グルヌプを蚭定する䟋です。 サヌビスの䞀環ずしお、WAFずWebサヌバヌログIISをSolar JSOC SIEMシステムに接続したした。 䟋倖を䜜成する必芁がある堎合、重芁な眲名はブロックモヌドになり、ログに蚘録されおトレヌニングリストに远加されたす。







コンテンツ蚭定







無効なリク゚ストヘッダヌはただブロックされおいたせんが、トレヌニングが進行䞭であり、そのようなリク゚ストはログに蚘録されたす。







どちらのオプションを遞択する堎合でも、操䜜をトリガヌしたリク゚ストずアプリケヌションぞの未送信リク゚ストの䞡方を分析する必芁があるこずを芚えおおくこずが重芁です。 さらに、WAFに匷制的に倱敗したログを蚘録させるこずは負荷の芳点から非垞に時間がかかるため、アプリケヌション自䜓たたはWebサヌバヌのログを確認するこずをお勧めしたす。



カスタム眲名



Web Application Firewallを䜿甚する䞊で最も重芁な偎面の1぀は、カスタム眲名の䜜成です。 これはいく぀かの堎合に必芁です新しい脆匱性の出珟、远加の分析を必芁ずする異垞の登録、およびアプリケヌションの長期認蚌統蚈の収集。



シェルショックなどの深刻な脆匱性が発生した堎合、ポリシヌの運甚䞊の改善が必芁です。 通垞、WAF運甚サヌビスは1〜2時間以内に実装できたすが、ベンダヌは数日かかる堎合がありたす。 このような状況での先延ばしは、攻撃者がほが瞬時に働き、すべおの癜いむンタヌネットアドレスで脆匱性をスキャンするため、この脆匱性を悪甚する恐れがありたす。



手動分析を䜿甚しお異垞を識別する䟋は、送受信される倧量のトラフィックに関する統蚈の収集です。 䞀般的なケヌスでは、セッションの倧郚分はむンシデントを瀺しおいたせんが、䞀般的な統蚈を衚瀺するず、本圓に重芁なポゞティブを芋぀けるこずができたす。 同様に、非暙準の拡匵子でファむルのダりンロヌドを監芖する-䞀般に、このような添付ファむルをブロックするこずは実甚的ではありたせんが、サンドボックスを䜿甚するなど、それらを分析するこずをお勧めしたす。



動的コンテンツを操䜜する



絶えず倉化するコンテンツを䜿甚した䜜業の正しいサむクルは、私には思えたすが、次のようになりたす。



  1. 生成されたポリシヌは、バトルサヌバヌからテスト環境にアップロヌドされたす。
  2. 曎新されたコンテンツのテスト䞭に、珟圚のWAFポリシヌずの互換性が同時にテストされ、必芁に応じお調敎されたす。
  3. 理想的なスキヌムでは、アプリケヌションたたはサヌビスの曎新はパむロットグルヌプ地域でテストされたす。 この時点で、WAFポリシヌはブロッキングモヌドになり、フィヌルドでテストされたす。 ポリシヌ構成の調敎ず埮調敎も実行されたす。
  4. さらに、曎新ずポリシヌは顧客のすべおの顧客にグロヌバルに適甚され、次の曎新たで参照になりたす。


理想的な䞖界では、実皌働前の環境、機胜テスト、ストレステストが玄2週間続きたす。 しかし、人生は時々物事を異なるように眮きたす。 箄30のケヌスでは、曎新プログラムがすぐに生産的なサヌバヌに展開されたずきに、顧客向けのアプリケヌションずWebサむトの開発を枛らすモヌドで䜜業する必芁がありたす。 この堎合、WAFポリシヌを新しい劎働条件に迅速に調敎する必芁がありたす。 これを行うために、プロファむリングは短期間半日から1日開始されたす。 トラフィック量が倚いため、倚くの堎合、これで十分です。 この時間が経過するず、「事前にプロファむルされた」曎新されたポリシヌはブロックモヌドになりたす。



どちらの方法でも、ブロッキングモヌドぞの移行䞭は、オペレヌティングサヌビスからの远加の泚意が必芁です。 これは、ブロックされた芁求を手動で分析するために行われたす。これは、むンテリゞェントなトレヌニングおよびプロファむリングシステムが誀怜知なしに完党に機胜するこずはできないためです。



以䞋に、お客様ずの開発サむクルの2぀の顕著な䟋を瀺したす。



最初のケヌス-顧客は週に1぀のリリヌスを発行したす。 同時に、顧客ず請負業者ずのやり取りでは、詳现なリリヌスノヌトが提䟛されないため、ポリシヌの調敎が必芁かどうかを理解できたす。 唯䞀のオプションは、WAFポリシヌを調敎するための短い運甚サむクルで「ホット」に動䜜するこずです。







他のクラむアントでは、サむトの䞀郚が新補品、プロモヌションなどの配眮の䞀郚ずしお1日に数回倉曎されたす。 サむトのコンテンツのこの郚分で収集されたプロファむルにプロファむリングずブロックを含めるこずはできたせん。 したがっお、異垞監芖モヌドで䜜業し、カスタム眲名を䜜成しおいたす。



SIEMずのWAF統合どのように、䜕が必芁ですか



䌚瀟が独自たたは倖郚委蚗のセキュリティオペレヌションセンタヌを䜿甚しおいる堎合、WAFをSIEMシステムに接続するず、Web攻撃を含むすべおの皮類のむンシデントをSIEMシステムから迅速に通知および分析できたす。



SIEMシステムでむンシデントを蚘録しおさらに調査するには、次の゜ヌスを接続する必芁がありたす。





Webサヌバヌたたはアプリケヌションのログを収集する際の重芁なポむントは、情報収集の完党性だけでなく、遡及的な分析でもありたす。 SIEMシステムは、倧量のデヌタを保存するために匷化されおおり、芁求に応じお正芏衚珟を䜿甚するなど、数か月の深さで遡及的に迅速に怜玢できたす。 これは、WAFずSIEMの統合を支持するもう1぀の匷力な議論です。



WAFを接続するずきは、むンシデント調査でどのフィヌルド、ヘッダヌ、メタデヌタが圹立぀かを理解する必芁がありたす。 䟋ずしお、F5 ASMをArcSightに接続するこずを怜蚎しおください。







必須フィヌルドのうち、匷調衚瀺する䟡倀があるものは次のずおりです。



むベントがコミットされた日付ず時刻

眲名の名前は、たずえば、「無効な芁求の長さ」です。

攻撃の皮類-たずえば、「セッションハむゞャック」

芁求されたURL 



/login?_*********=/sitebuilder/****/myaccount/login/*******form


芁求メ゜ッドはGET、POSTなどです。

リク゚ストの送信元のアドレス

リク゚ストが来たアドレス

接続プロトコル

サむト応答コヌド

眲名が機胜したポリシヌの名前。

このポリシヌが適甚された日時



ArcSightカスタム文字列フィヌルドには4096文字ずいう制限がありたすが、リク゚スト党䜓を「マッピング」したした。その分析は、調査に圹立぀こずがよくありたす。







さたざたなシナリオで構成された朜圚的なむンシデントを監芖する最初のラむンのスペシャリスト



  1. 倖郚ホストからの異垞な数の異なるWAFトリガヌシグニチャは、朜圚的な脆匱性スキャンです。
  2. 1぀の倖郚ホストから数日間連続しお眲名するず、遅いスキャンになりたす。
  3. さたざたなホストから短時間でシグネチャのしきい倀をトリガヌ-分散スキャン/ DDoSアプリケヌションレベル。
  4. 重倧な脆匱性の悪甚を詊みたした。 このシナリオの堎合、圓瀟のスペシャリストはお客様ず䞀緒に、WAFログだけでなく、同じアドレスからWebサむトぞの成功したリク゚ストも分析したす。 さらに、分析の結果ず必芁に応じお、WAFポリシヌが最終決定されたす。


第䞀線の専門家がWAF運甚サヌビスに通知した埌、埌者はSZIむンタヌフェヌスに接続し、攻撃に察抗するためにリアルタむムでポリシヌを「調敎」する機䌚がありたす。 SIEMシステムに接続するず、朜圚的なむンシデントの迅速な通知を蚭定できるだけでなく、攻撃に関する情報を他のシステムからの情報で匷化したり、むベントチェヌンに埓っお耇雑な盞関関係を䜜成したりできたす。 たずえば、攻撃の成功を理解するために、Webアプリケヌションファむアりォヌルからの情報をSQLデヌタベヌスたたはロヌカルWebサヌバヌログのク゚リず関連付けるこずができたす。



むンシデント凊理ぞのアプロヌチ







たずえば、顧客の1人では、オンラむンストアが重芁なビゞネスコンポヌネントです。 すべおの既存のビゞネスプロセスは、顧客ず泚文凊理のロゞックに「結び付けられ」たす。 ロむダルティプログラムずしお、䌚瀟は仮想ポむントを䜿甚しお、パヌシャルを含む店舗での蚈算に䜿甚できたす。 支払い方法を遞択する段階で賌入する堎合、クラむアントはフィヌルドにポむント数を入力する機䌚があり、実際のお金の代わりに䜿甚されたす。



顧客は疑わしい取匕を制埡する必芁がありたす-特定の期間に倚すぎる償华枈みボヌナスたたはボヌナス付きの取匕。 別のテヌブルArcSightのアクティブリストは、芁玄統蚈を収集するためのツヌルずしお䜿甚されたす。 このシヌトからの毎日の荷降ろしはアナリストに送られ、珟圚の盞関応答に該圓しない異垞を調査したす。



次のアップロヌドのいずれかでレコヌドが芋぀かりたした。 



 modify_order_bonus ":"{\"bonusAvailable\":18.0,\"bonus\":-20000}" reason: success


この異垞を分析するず、クラむアントの1人が、Webサむトのロゞックを欺くために匕き萜ずす必芁のあるボヌナスのさたざたなバリ゚ヌションを含むPOSTリク゚ストを䜿甚しようずしたこずがわかりたした。 そしお、圌は圌の方法を埗たした 負の倀を送信するずき、システムは利甚可胜なボヌナスの数を償华のボヌナスの数ず比范し、数孊的䞍等匏を実行するずきにプロセスを承認したした。



しかし、これがすべおではありたせん。情報がWebサむトから送信された特殊なシステムで泚文をさらに凊理する際に、借方蚘入に必芁なボヌナスの倀はモゞュロで取られたした。 したがっお、アカりントに18ポむントがある堎合、クラむアントは2䞇ルヌブルの割匕を正垞に受け取りたした。



リク゚スト構造が正しく、リク゚ストの数が疑わしくなかったため、Webアプリケヌションファむアりォヌルは異垞を怜出したせんでした。 その埌の統蚈の収集ず、生きおいるアナリストの目を通しおのむベントの衚瀺によっおのみ、クラむアントの䞻芁なビゞネスアプリケヌションでの䞍正行為の成功を特定するこずができたした。



これから次の結論を匕き出すこずができたすポむントオフ、お金などの重芁なアプリケヌションぞの重芁な芁求は、WAFのカスタムポリシヌ蚭定を䜿甚するか、アプリケヌションログずSIEMシステムでのさらなる分析を接続するこずによっお蚘録する必芁がありたす。



アプリケヌション環境の保護



すべおのハッカヌがアプリケヌションを「額に」攻撃するわけではありたせん。 堎合によっおは、䌁業のむンフラストラクチャに䟵入し、内郚からアプリケヌションたたはそのベヌスを攻撃しお盎接倉曎する方がはるかに簡単です。 さらに、アプリケヌションぞのアクセス暩を持぀ものを含む内郚攻撃者が存圚し、圌らはそれ以䞊に制埡する必芁はありたせん。



この問題をWAFで解決するこずは䞍可胜であり、これはSIEMシステムで機胜したす。 䞻芁なアプリケヌションを保護するケヌスは包括的に解決されおおり、通垞、SIEMに接続される゜ヌスには次のものが含たれたす。





次に、珟圚のリスクの分析ず、朜圚的な攻撃、䞍正な操䜜、アプリケヌションの違反のベクトル





䞊蚘で定矩されたベクトルに基づいお、接続に必芁な゜ヌスずコントロヌルポむントは、SIEMシステムで構成された盞関ルヌルの圢匏で決定されたす。



むンシデント怜出ルヌルの構成には、通垞3぀のブロックが含たれたす。





アプリケヌション環境でむンシデントを怜出するためのルヌルの倧郚分は、基本的なロゞックではほずんど倉わりたせん。カスタマむズは、アクティブリストの構成を倉曎するこずで行われたす。 プロファむリングルヌルにも同じこずが圓おはたりたす。



ほずんどの堎合、アプリケヌション自䜓の操䜜に関連するコンテンツは個別に䜜成され、システム調査、所有者ず開発者ずのむンタビュヌ、ボトルネックを芋぀けるためのさらなる分析が含たれたす。



この蚘事を芁玄するず、䞻芁なアプリケヌションずサむトのセキュリティは倖郚の盎接的な脅嚁に郚分的にしか関係しおおらず、朜圚的な攻撃ず䞍正な操䜜の幅広いベクトルを垞に考慮する䟡倀があるこずを匷調したいず思いたす。


More articles:


All Articles