Engellerin üstesinden gelmek: milyonlarca sunucu için izinsiz giriş önleme senaryolarında kaos mühendisliği uygulamasında
Karmaşık iş ve ağ ortamında, şirketin milyon düzeyindeki sunucularının önünde, bir saldırı gerçekleştiğinde zamanında tespit elde etmek için, izinsiz giriş önleme sisteminin etkinliği, yani sistemin kalitesi çok önemlidir.
Onion sistemi, Tencent şirket düzeyinde bir ana bilgisayar saldırı önleme güvenlik algılama sistemidir.Ön uç ana bilgisayar aracısını ve arka uç dağıtılmış veri erişim analiz sistemini uygulayan eksiksiz bir hizmet kümesidir. Çok sayıda sistem modülünü kapsar ve bir milyondan fazla hizmet düğümünü devreye almıştır. Karşılaşılan iş ağı ortamı alanı karmaşıktır - Onion, böyle bir ortamda gerçek zamanlı izleme verilerini toplar, raporlar ve analiz eder.
Ancak, gerçek operasyon sürecinde her zaman anormal bileşenler, konuşlandırılmama, izinsiz giriş ve su sızıntısı gibi bir dizi kalite zorluğunun ortaya çıkacağını bulduk.
Buna dayanarak, sistemin gerçek zamanlı kalitesini inşa ederken ve optimize ederken, kaotik mühendisliği tanıtmak için bir çözüm fikri ortaya koyduk ve kaotik mühendisliğin ön pratik uygulamasını tanıttık. Yani, tüm sistemin gerçek zamanlı kalitesinin bir model standardı ve sabit durum tanımını oluşturmak, kaotik deneyler yapmak için gerçek saldırı senaryolarının simülasyonunu ve hizmet anormalliklerini birleştirmek, sistemin kararlılığını ve kullanılabilirliğini doğrulamak ve bir negatif oluşturmak için bilinmeyen kalite sorunlarını keşfetmek. İzinsiz giriş önleme kalitesinin inşasını ve optimizasyonunu daha da geliştirmek için geri bildirim kapalı döngü.
Bu makale, izinsiz giriş önleme sistemlerinin gerçek zamanlı kaliteli yapısı ve optimizasyonuna odaklanır ve kaos mühendisliğinin ön pratik uygulamasını tanıtır.
0 × 1 Saldırıya karşı büyük zorluk
İzinsiz girişi önleme özel çalışma içeriğini açıklamak için, önce "istilayı" tanımlamalıyız.
Buradaki izinsiz giriş, esas olarak "yetkisiz" davranışları ifade eder. Genel olarak, davetsiz misafirin izinsiz girişinin temel amacı aşağıdaki gibidir:
İlişki zincirleri, kullanıcı bilgileri vb. Gibi hassas verileri elde edin; kötü niyetli silme, kendi hesabını ücretlendirme, ana sayfaya müdahale (sadece eğlence için) vb. Gibi verilerle oynayın; DDoS saldırılarını başlatmak için piliçler gibi kişisel makineleri kullanmak gibi kişisel varlıkları kontrol edin. Veya diğer hedeflere sızmak için bir sıçrama tahtası olarak; madencilik davranışı.
Yol açısından, bilgisayar korsanları, dahili ağa ulaşmak için web sitesi güvenlik açıkları, harici yüksek riskli üçüncü taraf uygulama güvenlik açıkları, tedarik zinciri saldırıları, ağ korsanlığı, e-posta kimlik avı, fiziksel saldırılar, sıfırıncı gün güvenlik açığı saldırıları vb. Yoluyla şirket sunucusuna girebilir ve ardından dahili ve harici taramayı geçebilir. Patlatma ve diğer biçimler daha da sızar, bir aygır anti-bağlantı kurar ve sonunda sunucuyu tamamen kontrol etme hedefine ulaşır.
Genel olarak, izinsiz giriş tam bir davranışsal bağlantıya kadar izlenebilir. Bu nedenle, saldırı önleme söz konusu olduğunda, bağlantı katmanındaki anahtar yolları katman katman güçlendirmek, saldırı önleme temelidir.
İzinsiz girişi önleme sisteminin amacı, izinsiz girişleri zamanında tespit etmek, izinsiz girişleri geriye doğru izlemek ve ardından sistemin zayıf noktalarını güçlendirmektir. Şu anda, saldırı önleme ekibi sunucuya yerleştirilmiştir ve istemci aracısı, makinede gerçek zamanlı olarak izleme bilgilerini (komut yürütme, işlem, ağ bağlantısı, tarama, sistem günlüğü, web dosyası, yüksek riskli uygulama güvenlik açıkları vb.) Toplar ve ardından arka uç dağıtılır. Küme, verileri temizler ve çok boyutlu veri toplamayı analiz eder ve son olarak risk olaylarının çıktılarını verir.
Bununla birlikte, mevcut izinsiz girişi önleme çalışması da büyük zorluklarla karşı karşıyadır.
Her şeyden önce, şirketin plakası büyüyor ve büyüyor ve sunucu milyon düzeyini aştı; ikincisi, şirketin sayısız işi, mevcut ağda çeşitli uygulamaların / üçüncü taraf yazılımların kullanılması ve çalışanların zayıf güvenlik bilinci, izinsiz giriş önleme çalışmaları için zorluklar yaratıyor. . Ek olarak, ağ ortamı karmaşıktır: Temel olarak, her harici bağlantı noktası, her hizmet, her cgi, GitHub'da barındırılan her parola, bilgisayar korsanlarının "istila etmesi" için bir giriş noktası olabilir.
Böylesine karmaşık bir iş ve ağ ortamı ve bu kadar çok sayıda sunucu ile karşı karşıya kalan sistemin, zaman içinde izinsiz girişleri algılaması ve tespit etmesi gerekir ve izinsiz giriş önleme sisteminin etkinliği, yani sistemin kalitesi hayati önem taşır.
0 × 2 Karmaşık ölçekte izinsiz giriş önleme sisteminin kaliteli yapısı
İzinsiz girişi önleme sisteminin kalitesi, izinsiz girişi önleme sisteminin etkinliğinde kilit bir faktör haline gelmiştir. Ancak, sistemin kalitesinin etkin bir şekilde nasıl inşa edileceği bir başka büyük projedir.
Dizine alınmış açıklama, kaliteli yapı ve optimizasyon için temel gereksinimdir. Bu bağlamda, tüm sistemin gerçek zamanlı olarak etkin bir şekilde kapsanmasının sağlık durumunu ifade etmek için kullanılan gerçek zamanlı kalite pazarı kavramından ve sistemin yinelemeli optimizasyonu için daha yararlı olan anormal sınıflandırmanın istatistiksel oranı ve ayrıntılı çıktısından ve dolayısıyla tam bir pozitiften bahsettik. Kaliteli inşaatın kapalı döngüsüne.
Tüm senaryoların geliştirilmesi için, olası anormal noktaları ayırın, göstergeler oluşturun ve ardından yinelemeli olarak geliştirin, noktalara gömülü göstergeleri rapor edin, arka uçta göstergelerin kapsamlı bir analiz modelini oluşturun ve son olarak tam bir gerçek zamanlı kalite pazarı, geliştirme, işletme ve bakım Gerçek zamanlı kalite pazarından beslenen anormal sahnelere göre, öğrenciler ve Stratejiler, olumlu bir kapalı döngü oluşturmak için gelişimi analiz etti ve optimize etti.
Bununla birlikte, mevcut ağın çeşitli modül sistemleri altında, fiili işlem süreci sırasında gömülü nokta göstergelerinin dışında hala ilgili anormallikler vardır ve bu da izinsiz giriş ve su sızıntısına neden olur. Öyleyse, sistemin kalitesini daha iyi kontrol etmek ve izinsiz girişleri tespit etmek için bu olası anormallikleri olabildiğince çabuk ortaya çıkarmanın bir yolu var mı? Cevabımız evet.
Kaos mühendisliği, bu tür senaryolara uygulanan teknik bir çözümdür.
Dikkat edilmesi gereken ilk şey, mevcut saldırı önleme sisteminin dağıtılmış mimari, otomatik felaket kurtarma ve yönlendirme yük dengelemesini uyguladığıdır. İstemci ayrıca aracı artı eklentiler biçiminde mevcuttur ve bileşen yönetimi ve kalp atışı algılama mantığını kullanmaktadır. Anlamlı kaos deneylerinin temeli.
İzinsiz giriş önleme senaryolarında kaos mühendisliğinin kombinasyonu ve kullanımı ile ilgili olarak, odak noktamız iki seviyedir, yani etkili sistem kapsamı ve etkili izinsiz giriş tespiti.
Birinci seviye için, kaos deneyi esas olarak sistem hatalarını uygulamak ve sistemin hata toleransını doğrulamaktır; ikinci seviye, kaos deneyi esas olarak izinsiz giriş deneyine odaklanır.Derinden, simüle edilmiş izinsiz giriş arama testi ve gerçek izinsiz giriş olarak ikiye ayırırız. İki türle yüzleşin. Tüm kaos deneyinin sonuçları, optimizasyon ve izleme için pozitif sistem kalitesi yapısına geri beslenir ve bir "negatif geri besleme" mekanizması oluşturulur. Olumlu ve olumsuz yönlerden, süreçte kapalı bir kaliteli inşaat döngüsü oluşur.
Pozitif kaliteli yapı, öngörülebilir anormal sahneleri çözebilir ve kapatabilir.Bilinmeyen sahneler için, gerçek zamanlı kaliteli piyasa yapısını geri beslemek için negatif bir geri bildirim mekanizmasını doğrulamak ve oluşturmak için kaos deneyleri başlattık. Bu, karmaşık ölçekte izinsiz giriş önleme sistemlerinin kaliteli inşasının genel fikridir.
0 × 3 saldırı önleme senaryosunda kaos uygulaması
Peki, izinsiz giriş önleme senaryosundaki kaos deneyi nasıl gitti?
Yukarıda belirtildiği gibi, izinsiz giriş önleme ekibi esas olarak etkili sistem kapsamı ve etkili izinsiz giriş tespiti dahil olmak üzere iki seviyeli sistem kabiliyetine odaklanır. Düşünce açısından, esas olarak sistemin etkin kapsamını "hata testi" ile doğrulamak ve "simüle edilmiş izinsiz giriş arama testi" ve "izinsiz giriş karşı önlemi" yoluyla sistemin etkili keşif yeteneğini doğrulamaktır.
1) Başarısızlık testi
Hata enjeksiyon deneyi, kaos mühendisliği uygulamasında yaygın olarak kullanılan bir mühendislik yöntemidir.Kontrol edilebilir anormallikler ve hatalar getirerek, sistemin yanıtını ve hata toleransını gözlemlemek, sistemin çeşitli fonksiyonel modüllerinin etkili bir şekilde kapsanmasının doğrulanmasıdır.
İstemcide ve dağıtılmış sistemin arka planında rastgele belirlenmiş bir yöntem aracılığıyla, istemci aracısındaki sürümün etkin bir şekilde eski sürüme geçirilmesi, bileşenlerin silinmesi veya iptables'ın aracıyı bağlantıyı kesmeye zorlamak için kasıtlı olarak kısıtlanması gibi izinsiz giriş algılama yeteneğini etkileyebilecek anormal durumlar ortaya çıkarın. Arka uç tarafında, araçlar, arka uç rastgele makinelerin yüksek işlemci yükü oluşturmasını veya trafiğin artmasını, hatta hizmeti çevrimdışı yapmak için işlemi aktif olarak durdurmasını sağlamak için kullanılır.
Yani, hataları ortaya çıkaran tüm eylemler, önceden ayarlanmış bir rastgele seçim yöntemine göre bir görev kanalı aracılığıyla yürütülmek üzere ana bilgisayara gönderilir ve ana bilgisayara, hata enjeksiyonunun etkisini elde etmek için gönderilir. Arka uç arızalarının ortaya çıkması için, tasarım rastgele farklı kümelere dağıtılacaktır. Ardından, ilgili göstergelerin daha önce oluşturulmuş gerçek zamanlı kalite pazarında kalite dalgalanmaları olup olmadığını kontrol edebiliriz.
2) İzinsiz giriş arama testini simüle edin
İzinsiz giriş senaryosundaki bilinmeyen anormallikleri ve sistemin tüm bağlantısını keşfetmek için, saldırı önleme ekibi ayrıca "simüle edilmiş izinsiz giriş arama testi" ve "izinsiz giriş karşı önlemi" ni de uygulamaya koydu. Belirli operasyonlar açısından, saldırı önleme ekibi, izinsiz girişi, izinsiz girişin yoluna, araçlarına ve yöntemlerine göre farklı senaryolara böler. Her sahne için belirli bilgiler toplanarak sahnenin davranış özelliklerine göre modelleme ve tespit yapılır.
Spesifik uygulama kapalı döngü süreci aşağıdaki şekilde gösterilmektedir. Ortadaki "arama testi sisteminden" simüle edilmiş bir saldırı saldırısı başlatın. Bu süreçte, sistem verileri normal çalışma mantığına göre toplayacak ve iletecek (bu süreçte veriler tam bağlantı baypasına kaydedilecektir) ve ardından izinsiz giriş tespiti gerçekleştirecektir.
Çevirme testi sistemi otomatik olarak davranış sonuçlarını doğrulayacak ve çevirme testi sonuçlarını çıkaracaktır. Bir anormallik varsa ancak sistem bunu bulamazsa, strateji ve Ar-Ge öğrencileri arama testi sonuçlarını takip edecek ve ardından gerçek zamanlı kalite pazarına geri bildirimde bulunacak veya stratejiyi optimize edecek. Aynı zamanda, yeni bir saldırı stratejisi senaryosu yayınlanırsa, ilgili simüle edilmiş saldırı davranışı, sürümden sonra arama testi sistemine eklenecektir. Bu kapalı bir döngü oluşturur.
Tarihteki dial-up testleri sayesinde, canlı ağ ortamında test ve izleme ile ele alınmayan birçok strateji ve Ar-Ge kalite sorunu keşfedilmiş ve "kavgalara" neden olan birçok gizli faktör ortaya çıkarılmıştır.
3) İstila ve çatışma
Simüle edilmiş işgal, bilinen işgal senaryolarına yöneliktir. Ancak aynı zamanda, hacker teknolojisi de gelişiyor ve hatta savaş alanı değişiyor. Hizmet açıklarından tedarik zinciri saldırılarına, sunucunun temelindeki aygırlara (bios, vb.). Bu nedenle, izinsiz giriş karşı önlem deneylerinin tanıtılması, saldırı önleme sisteminin gelişimi takip etmesi ve yolu göstermesi içindir.
Gerçek infaz sürecinde, işgal ve yüzleşmenin kaos deneyi iki boyut üzerinden yürütülebilir.
Birincisi, içeride bir Mavi Ordu mekanizması kurmak. İç ve dış istihbarat, yeni saldırı aracı teknolojileri ve yöntemlerini inceleyerek, sızıntılara adım atarak, sunucuları ve diğer saldırıları kontrol ederek, dahili saldırı ve savunma egzersizleri yaparak; ikincisi, beyaz şapkalar tarafından sunulan güvenlik açıklarını ve gerçek bilgisayar korsanlığı vakalarını hem Deney değişkenleri. Yukarıdaki iki bakış açısıyla, tam bir kapalı döngü işgal ve yüzleşme mekanizması oluşturulmuştur.
Spesifik olarak, bir izinsiz girişi kapalı döngüyü simüle etme sürecinin tamamı nasıldır?
Bir yandan mavi ordu istila etti, diğer yandan saldırı sırasındaki tüm davranışları kaydetti; aynı zamanda sistem normal bir şekilde algılama işini yürütüyordu. Bir saldırı uyarısı üretilirse, acil durum ekipleri acilen soruşturma, karakterizasyon, kayıp durdurma, kayıp tespiti, izlenebilirlik vb. İşler yapacak ve bunun bir mavi ordu tatbikatı olup olmadığını mavi ordu ile teyit edecek; bazen mavi ordu gerçek bir işgal olarak savaş alanından temizlenir. Yüzleşmeye bu şekilde devam edin.
Mavi Ordu tarafından sağlanan eksiksiz izinsiz giriş kayıtları ve gerçek izinsiz giriş alarmları ile uzlaşma sayesinde, hangi davranışların başarıyla uyarıldığını, hangi davranışların atlandığını ve sızdırıldığını veya bazı davranışların orijinal verilerinin şu anda toplama için desteklenip desteklenmediğini, vb. Ve sonra yeni geliştirme senaryosu gereksinimleri, stratejik optimizasyon gereksinimleri ve kalite optimizasyon noktaları oluşturun ve sistem kalitesi yapısına geri bildirim gönderin.
0 × 4 postscript
Bu makale, izinsiz giriş önleme çalışmasının ilgili arka planının yanı sıra, kaliteli inşaatta izinsiz giriş önleme sisteminin düşünme ve teşvik yöntemlerini tanıtmaktadır. İzinsiz giriş önleme senaryosundaki kaliteli yapıdan başlayarak, dağıtılmış sistemin kaliteli yapısına bakarak, sistemin istikrarını ve etkinliğini sürekli olarak desteklemek için hem olumlu hem de olumsuz yönlerden başlamak ve dinamik olarak birbirini tamamlamak gerekir.
Gelecekte, izinsiz girişi önleme, mevcut ağ işletim ortamına hata ekleme doğrulamasını iyileştirmeye ve otomatikleştirmeye devam edecek ve rutinleri uygulamaya devam edecek.Aynı zamanda, IOT akıllı donanımın ve temeldeki sunucunun (BIOS, vb.) Yüksek seviyeli karşı önlemlerin ve kalitenin inşasına odaklanacaktır.
* Yazar: Tencent platform güvenlik departmanı, FreeBuf.COM'dan yeniden basılmıştır.
