Zatarra Posted January 4, 2023 Report Posted January 4, 2023 Salut a todos, Am un proiect pe partea de CyberSecurity, la care lucrez de ceva timp impreuna cu un fost coleg de munca si pe care as vrea sa vi-l prezit si voua cu speranta in a veni si a-l testa. Am fost si la Defcamp unde am avut un stand (multumim @Andrei cu aceasta ocazie) si am rulat un program de BugBounty (care inca e valid - cine gaseste un bug valid il raporteaza si in functie de severitate vom premia cu vouchere Emag) Pe scurt, este vorba de https://razdon.com , un website care va ofera posibilitatea de a "onboardui" si a veda traficul vostru LIVE cu un extra context de securitate la fiecare request. Aceasta parte de live este prezentata sub forma unui dashboard unde poti vedea harta lumii si toate request-urile venind spre locatia serverului tau. Aveti un screenshot atasat mai jos: Dupa cum vedeti proiectul a fost dezvoltat pe RST si aici puteti vedea un window de aproximativ 8 ore cu toate statisticiile legate de RST in aceste 8 ore + traficul live, bineinteles. Pe langa partea de dashboard live, care necesita interactiune minima (practic este doar selectia site-ului in scop - in cazul in care aveti mai multe), avem si partea de analiza de trafic. In partea de analiza de trafic ai optiunea de a cauta in toate request-urile pe o anumita perioada de timp dupa ceva anume (ex. toate requesturile cu status code 4XX or 3XX). In partea de analiza este prezenta si un scurt istoric al atacurilor recente (cu tot cu tipul lor) Puteti vedea o bucata din acesta pagina mai jos: Un alt meniu destul de interesat este cel cu partea de certificate SSL, unde va puteti verifica data de expirare a certificatului (iar pe viitor vom implementa si sistem de alerte - atat la certificate cat si la atacuri). Un screenshot cu partea de certificate mai jos: Putem implementa si partea de WAF, dar momentan avem 0 focus in aceasta directie. Foarte curand vom face release si la un beta pe partea de artificial intelligence / machine learning, cu ajutorul carora vom maximiza eficienta detectarii atacurilor. Acestea fiind spuse, daca cineva este interesat de un asemenea produs, inregistrariile sunt deschise si puteti urma pasii necesari pentru a viziona traficul. Pentru a evita intrebariile de tipul cum faceti asta, va informez de pe acum ca singurul lucru care e necesar pentru aceste actiun sunt logurile de apache, respectiv nginx cu traficul website-ului. Momentan preluam aceste loguri cu un binar scris in GO (pentru eficienta) dar voi pune si varianta (raw) cea de a trimite catre API-ul nostru log-urile fara a rula un binar (safety reasons). O mica schema pentru a intelege mai bine cum sta treaba aveti jos. Mersi si o seara faina! P.S. In caz ca vrea sa ne cumpere careva cu vreo 2-3 mil de euro sa-mi dea un MP, dupaia e mai scump. 2 1 7 Quote
WarLord Posted January 5, 2023 Report Posted January 5, 2023 Fainuc proiectul, si inteleg ca a fost multa munca, dar pe partea de defense cum e? Nu am citit nimic decat ca nu e WAF, deci atunci e bun *numai* pe partea de analiza. Dorinta clientilor atunci devine ca un produs sa aiba de toate, inclusiv WAF, DDoS protection, DLP, monitoring/alerting, geo blocking, response time (tech support) sa fie imediat atunci cand sunt probleme, etc. Multi clienti incearca sa reduca din numarul de platforme, si nu sa adauge. Sunt multe produse deja care fac toate sau multe din lucrurile mentionate ca si produsele de la Imperva. Care e viitorul platformei atunci - roadmap-ul? Care sunt limitarile serviciilor care sunt deja functionale? Noroc in continuare. 2 Quote
Zatarra Posted January 5, 2023 Author Report Posted January 5, 2023 2 hours ago, WarLord said: Fainuc proiectul, si inteleg ca a fost multa munca, dar pe partea de defense cum e? Nu am citit nimic decat ca nu e WAF, deci atunci e bun *numai* pe partea de analiza. Dorinta clientilor atunci devine ca un produs sa aiba de toate, inclusiv WAF, DDoS protection, DLP, monitoring/alerting, geo blocking, response time (tech support) sa fie imediat atunci cand sunt probleme, etc. Multi clienti incearca sa reduca din numarul de platforme, si nu sa adauge. Sunt multe produse deja care fac toate sau multe din lucrurile mentionate ca si produsele de la Imperva. Care e viitorul platformei atunci - roadmap-ul? Care sunt limitarile serviciilor care sunt deja functionale? Noroc in continuare. Mersi de feedback! Motivul pentru care nu oferim partea de WAF e pur business. Ai dreptate, foarte multi clienti vor ca tu sa faci filtrarea, dar tot ei sunt cei care iti spun: "noi nu vrem ca tu sa ai control asupra datelor pe care eu le primesc sau le trimit", iar a face partea de WAF fara control asupra datelor nu se poate. Pentru partea de DDoS protection, scopul nostru actual este in a detecta atacuri, nu a le bloca. Cand vorbim de un atac de tip DDoS protectia se face foarte putin la nivel logic ci foarte mult la nivel fizic (avand posibilitatea in a "handelui" mai mult trafic prin infrastructura network mai buna) sau prin a avea integrari/automatizari/access facil la reteaua internet provideri-lor. Iar toate aceste lucruri nu sunt in scopul nostru deoarece 1 pt infrastructura ai nevoie de bani (iar aia e independent fata de mine) si 2 pentru a putea prelua partea de ISP iar nu ti-o acorda nimeni. Pentru partea de DLP - same story - avem nevoie control (clientul nu da control). Si aici pot da 2 exemple usoare: 1. Eu nu am cum sa observ daca tu ai un data leakage in traficul tau decat daca tu imi permiti ca eu sa-ti montez un SSL proxy in infrastructura si sa-ti anlizez asta (ceea ce nu permite nimeni) 2. Sa presupunem ca lasam criptarea la o parte si totul este necriptat (un serviciu FTP). Daca eu vad ca tu incerci sa copezi foarte multe fisiere si te blochez, tu ca si client vii si imi spui, pai da dar eu nu iti pot permite tie sa blochezi traficul meu deoarece nu stiu daca tu imi afectezi sau nu productia cu chestiile tale. Partea de monitoring/alerting o oferim intr-o oarecare masura si o putem acoperi fara probleme. Partea de response time - noi nu generam incidente, putem face asta, putem sa si le investigam si sa le rezolvam dar din nou, nu e in modelul nostru de business. Legat de Imperva, ai dreptate, parte din lucrurile pe care noi le facem sunt oferite si de poate alte 50 de companii, insa sunt lucruri pe care noi le oferim si altii nu le au, cum ar fi partea de live traffic + detection si partea de machine learning / behaviour analysis personalizat pe site-ul fiecaruia (nu stiu vendor care sa faca asta). Roadmapul - avem multe in plan. Momentan suntem 2 si suntem destul de limitati de timp, dar majoritatea chestiilor enumarate aici le vom acoperi mai de vreme sau mai tarziu (sau le vom atinge tangential). Limitariile serviciilor: asta incercam si noi sa aflam (de aici si postul initial). Am avut probleme de scalare in functie de traficul site-ului, dar acelea au fost rezolvate si suntem pregatiti pentru noi challenge-uri. Inca odata mersi de feedback! 1 1 Quote
WarLord Posted January 5, 2023 Report Posted January 5, 2023 Acuma observ pe wiki ca e un log shipper care il instalezi pe serverele tale on-prem, adica e un fel de rsyslog service care face forwarding la logurile tale de pe (web) server sau ceva asemanator, sau un fel de Splunk Heavy Forwarder, oricum. Merge si in sistem cloud - GCP, AWS, Azure, l-ati testat? Inteleg ca statisticile arata 8 ore de loguri RST, dar fiecare cont de fapt cat spatiu si timp de retentie are? Se poate face export la statistici ptr management care vor sa vada eficienta platformei ca astfel sa cheltuiasca banii din buget si la anul? Suporta si incercari de atacuri brute-force, ca nu il vad in lista de statistici, desi asta a merge bine sub sectiunea de Abuse? Nu vad optiuni sa adaugi alti useri, cu drepturi reduse - de ex. Analyst sau Viewer sub organizatia creata. In domeniul razdon.com, dupa ce o organizatie e configurata, ar fi fain sa arate ca sub-domeniul numele organizatiei, adica https://firma_mea.razdon.com. Mai revin... Quote
UnixDevel Posted January 5, 2023 Report Posted January 5, 2023 sunt curios folositi rabbit mq . cum se scaleaza ? si puteam sa pariez toti banii ca clientul e scris in go Quote
Zatarra Posted January 5, 2023 Author Report Posted January 5, 2023 5 hours ago, WarLord said: Inteleg ca statisticile arata 8 ore de loguri RST, dar fiecare cont de fapt cat spatiu si timp de retentie are? Momentan nu am definit retention period pe data. Cel mai probabil 1-3 luni maximum. Dupa 3 luni logurile de securitate nu mai devin relevante. Cu toate astea cu siguranta vor exista clienti care vor cere un retention period de 1-2 ani pentru audit de securitate (cel mai probabil ca un backup la solutia lor). 5 hours ago, WarLord said: Se poate face export la statistici ptr management care vor sa vada eficienta platformei ca astfel sa cheltuiasca banii din buget si la anul? Cat de curant vor exista rapoarte definite pe anumite intervale de timp si anumite scopuri (gen management). 5 hours ago, WarLord said: Suporta si incercari de atacuri brute-force, ca nu il vad in lista de statistici, desi asta a merge bine sub sectiunea de Abuse? Da, bruteforce este suportat. Abuse se refera la un CTI community driven si anume abuseipdb.com 5 hours ago, WarLord said: Nu vad optiuni sa adaugi alti useri, cu drepturi reduse - de ex. Analyst sau Viewer sub organizatia creata. Ai dreptate, momental il poti doar crea via register si adauga in organizatia ta. Vom face acel Send Invitation sa functioneze (momentan nu trimite nici un email). 5 hours ago, WarLord said: In domeniul razdon.com, dupa ce o organizatie e configurata, ar fi fain sa arate ca sub-domeniul numele organizatiei, adica https://firma_mea.razdon.com. E o idee foarte buna pentru organizatiile care au 1-2 site-uri dar daca ai 50 nu prea mai are sens. Vom avea o chestie numita favourite host/site si by default vom afisa chestiile specifice acelui site. Mersi de sugestie, ne vom gandi cum putem sa facem sa se vada mai facil partea aceasta de site-uri (inafara de a da click pe Hosts). Legat de cloud, cel mai important e modul in care aplicatia ta web ruleaza. Noi in spate avem un API si putem sa acceptam inputul de la orice metoda de a capta datele si a le trimite catre un API. Cu siguranta vom avea integrare directa cu cloud-urile mari prin chestiile lor native. 2 hours ago, lzomedia said: sunt curios folositi rabbit mq . cum se scaleaza ? Avem partea de Message Queue si scalam prin K8s. 2 1 Quote
Zatarra Posted January 6, 2023 Author Report Posted January 6, 2023 21 minutes ago, Kev said: System Recruitment? 0.01 vCPU 16 MB rami Glumesc. Nu inteleg ce vrei sa spui prin asta. Ai nevoie de un sistem care poate trimite request-uri catre un API. Nimic mai mult Quote
Kev Posted January 6, 2023 Report Posted January 6, 2023 Quote Please fill all the fields am completat tot Quote
Kev Posted January 11, 2023 Report Posted January 11, 2023 Mesaj catre ISP Eu: Quote bUNA ZIUA SI CUM POT AVEA acest pach > /var/log/httpd/acces.log ISP: Quote Ce cereți, nu este un patch ci logul serverului apache și nu avem cum să vă punem la dispoziție așa ceva. Spuneți-ne concret ce anume vă trebuie din log si vom încerca să extragem informația în limita timpului disponibil. Eu: Quote SPAM, SCAM, FLOOD, DDOS... etc, am un api si vreau sa il adaug ISP: Quote API-ul respectiv este util numai in situatia in care aveti propriul server si nu intr-un mediu partajat (shared). Scuze pentru dublu post, am zis ca nu apare notificare pentru edit 2 Quote
aelius Posted January 11, 2023 Report Posted January 11, 2023 Bre kev, daca nu intelegi despre ce e vorba, de ce saracia mai murdaresti topicul omului? Zici ca suntem in desene animate cu muppets 2 Quote
Zatarra Posted January 13, 2023 Author Report Posted January 13, 2023 Pentru cei care au dubii (cum ar trebui sa aibe) legat de binar, am pus si partea cu codul sursa, deci il puteti buildui singuri. 1 Quote
WarLord Posted January 14, 2023 Report Posted January 14, 2023 (edited) Ca si test, s-ar putea sa trimitem logurile noastre de la firewall catre log-shipper-ul instalat local (in retea) care la randul lui le trimite spre platforma online? Trebuie neaparat sa fie un website? Edited January 14, 2023 by WarLord Quote
Zatarra Posted January 15, 2023 Author Report Posted January 15, 2023 On 1/14/2023 at 5:36 AM, WarLord said: Ca si test, s-ar putea sa trimitem logurile noastre de la firewall catre log-shipper-ul instalat local (in retea) care la randul lui le trimite spre platforma online? Trebuie neaparat sa fie un website? Salut, momentan acceptam doar Nginx si Apache. Avem in plan sa implementam si partea de firewall in viitorul apropiat. Daca ai ceva sample-uri si ni le poti da ne putem uita peste si putem incepe procesarea lor. Ca sa-ti raspund si la intrebare, da, se poate. Quote
dimss Posted January 16, 2023 Report Posted January 16, 2023 Practic faceti un fel de ElasticSearch + FileBeat + Kibana, cu un focus pe securitate pentru request-uri? 1 1 Quote
Zatarra Posted January 16, 2023 Author Report Posted January 16, 2023 7 hours ago, dimss said: Practic faceti un fel de ElasticSearch + FileBeat + Kibana, cu un focus pe securitate pentru request-uri? Ca si data flow, da, e asemanator, ca si logica in spate nu au nici o treaba. Quote