Amazon WAF私有IP信誉模型初探

Amazon WAF这种云原生的WAF优势之一，就是可以更便捷的利用云上其他能力，尤其是数据处理能力，针对特定的使用场景定制规则，扩展WAF的处理能力。 现在将我们在实际安全运维工作中采用的几种模型分享给大家，抛砖引玉，希望能够扩展更多使用亚马逊云科技WAF服务的使用场景。 在Amazon WAF规则中，一类很常见的规则就是利用亚马逊云科技或第三方提供的IP信誉列表(IP Reputation List)这种外部安全情报来源，来作为识别恶意访问的依据。那么是否有可能构建一个私有的IP信誉列表，更有针对性地进行防御和对威胁进行分析呢？答案是肯定的，利用亚马逊云科技提供的服务和解决方案，即可实现安全情报在组织内的共享。以下面两个模型为例： ## 模型一：基于拦截率的IP信誉 基本逻辑：Web攻击行为通常都具有这样一个特性，就是在攻击早期，会尝试各种各样的方式来扫描、探测网站的漏洞，而这些早期的探测行为，有些特征明显容易被识别，第一时间被WAF拦截，有些访问则特征不明显，或者因为虽然匹配到了规则，但是因为规则误判率较高不方便全部开启拦截，造成混杂在正常的业务流量中不容易被WAF识别拦截，但是总体来看，如果一个IP的访问在一段时间内，被拦截的访问数量的比例超出正常的水平，那么就有理由怀疑该IP其他未被拦截的访问，也可能是恶意访问。因此，可以针对WAF日志中的来源IP，构建如下指标： 特定IP的拦截率 = 一段时间内的该IP的访问被拦截的次数 / (该IP被放行的访问次数+该IP被拦截的访问次数) 首先，需要一个集中的位置来共享来自组织内不同Account的不同WebACL的WAF日志，可以有多种方式来统计拦截率指标，亚马逊的SIEM on OpenSearch解决方案就是很好的工具，[aws-samples/siem-on-amazon-opensearch-service: A solution for collecting, correlating and visualizing multiple types of logs to help investigate security incidents. (github.com)](https://github.com/aws-samples/siem-on-amazon-opensearch-service "https://github.com/aws-samples/siem-on-amazon-opensearch-service")  这里通过Firewall Manager统一设置所有WAF WebACL的日志设置，将日志目标指向集中的Kinesis Firehose接收日志，并将WAF日志集中保存到一个S3存储桶。之后可以用两种方法来利用WAF日志计算拦截率指标。 方法一：使用OpenSearch 我们对SIEM on OpenSearch的内置WAF Dashboard进行了扩展，增加了一个拦截率视图： 可以看到以下示例数据中，highlight的IP，在2766次访问中，有445次被拦截，因此拦截率为16.088%，经过实际确认，剩余2321次未被拦截的访问，也都是恶意访问。因此这个IP就可以通过添加黑名单等方式进行彻底拦截。\  <!--StartFragment--> 另外，也可以通过Athena直接分析WAF日志，这种方式对数据的扫描要比OpenSearch慢一些，但是更适合进行一些自动化。使用Athena查询WAF日志的配置可参考：[Querying AWS WAF logs - Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html "https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html") ## 模型二：IP访问范围 综合多条WAF日志进行统计还有其他用例，比如：除了少量的管理用途，正常一个Web访问的来源IP，不会在一段时间内访问组织内多个account和网站，依赖于集中的WAF日志，可以统计特定IP在一段时间内的访问范围，比如以下IP，在3天内，访问的站点数量超过了20个，这类访问单个来看可能没有明显的特征，但整体来看有很大概率是恶意的扫描行为。  ## 小结 本文提供了一种思路，将多账号环境下大量WAF Log进行汇总统计，这种综合分析可以帮助WAF更早更全面的发现恶意访问，更有针对性的构建私有的IP信誉库，在不同账号和WebACL下共享威胁情报，后续也可以借助亚马逊云科技提供的WAF自动化解决方案对识别到的IP进一步进行自动化拦截，提高WAF对于Web安全事件的全局响应能力。