Amazon WAF私有IP信誉模型初探

Amazon Athena
Amazon OpenSearch Service
Amazon WAF – Web
0
0
Amazon WAF这种云原生的WAF优势之一,就是可以更便捷的利用云上其他能力,尤其是数据处理能力,针对特定的使用场景定制规则,扩展WAF的处理能力。 现在将我们在实际安全运维工作中采用的几种模型分享给大家,抛砖引玉,希望能够扩展更多使用亚马逊云科技WAF服务的使用场景。 在Amazon WAF规则中,一类很常见的规则就是利用亚马逊云科技或第三方提供的IP信誉列表(IP Reputation List)这种外部安全情报来源,来作为识别恶意访问的依据。那么是否有可能构建一个私有的IP信誉列表,更有针对性地进行防御和对威胁进行分析呢?答案是肯定的,利用亚马逊云科技提供的服务和解决方案,即可实现安全情报在组织内的共享。以下面两个模型为例: ## 模型一:基于拦截率的IP信誉 基本逻辑:Web攻击行为通常都具有这样一个特性,就是在攻击早期,会尝试各种各样的方式来扫描、探测网站的漏洞,而这些早期的探测行为,有些特征明显容易被识别,第一时间被WAF拦截,有些访问则特征不明显,或者因为虽然匹配到了规则,但是因为规则误判率较高不方便全部开启拦截,造成混杂在正常的业务流量中不容易被WAF识别拦截,但是总体来看,如果一个IP的访问在一段时间内,被拦截的访问数量的比例超出正常的水平,那么就有理由怀疑该IP其他未被拦截的访问,也可能是恶意访问。因此,可以针对WAF日志中的来源IP,构建如下指标: 特定IP的拦截率 = 一段时间内的该IP的访问被拦截的次数 / (该IP被放行的访问次数+该IP被拦截的访问次数) 首先,需要一个集中的位置来共享来自组织内不同Account的不同WebACL的WAF日志,可以有多种方式来统计拦截率指标,亚马逊的SIEM on OpenSearch解决方案就是很好的工具,[aws-samples/siem-on-amazon-opensearch-service: A solution for collecting, correlating and visualizing multiple types of logs to help investigate security incidents. (github.com)](https://github.com/aws-samples/siem-on-amazon-opensearch-service "https://github.com/aws-samples/siem-on-amazon-opensearch-service") ![SIEMonOpenSearch.jpg](https://dev-media.amazoncloud.cn/54ea6786bb81422aae2b7a6f9cbf2e50_SIEMonOpenSearch.jpg "SIEMonOpenSearch.jpg") 这里通过Firewall Manager统一设置所有WAF WebACL的日志设置,将日志目标指向集中的Kinesis Firehose接收日志,并将WAF日志集中保存到一个S3存储桶。之后可以用两种方法来利用WAF日志计算拦截率指标。 方法一:使用OpenSearch 我们对SIEM on OpenSearch的内置WAF Dashboard进行了扩展,增加了一个拦截率视图: 可以看到以下示例数据中,highlight的IP,在2766次访问中,有445次被拦截,因此拦截率为16.088%,经过实际确认,剩余2321次未被拦截的访问,也都是恶意访问。因此这个IP就可以通过添加黑名单等方式进行彻底拦截。\ ![image.png](https://dev-media.amazoncloud.cn/fa3729f17f9a415cbda40dc135e0c374_image.png "image.png") <!--StartFragment--> 另外,也可以通过Athena直接分析WAF日志,这种方式对数据的扫描要比OpenSearch慢一些,但是更适合进行一些自动化。使用Athena查询WAF日志的配置可参考:[Querying AWS WAF logs - Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html "https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html") ## 模型二:IP访问范围 综合多条WAF日志进行统计还有其他用例,比如:除了少量的管理用途,正常一个Web访问的来源IP,不会在一段时间内访问组织内多个account和网站,依赖于集中的WAF日志,可以统计特定IP在一段时间内的访问范围,比如以下IP,在3天内,访问的站点数量超过了20个,这类访问单个来看可能没有明显的特征,但整体来看有很大概率是恶意的扫描行为。 ![image.png](https://dev-media.amazoncloud.cn/6231e858f084474a9cc92cf1433f920e_image.png "image.png") ## 小结 本文提供了一种思路,将多账号环境下大量WAF Log进行汇总统计,这种综合分析可以帮助WAF更早更全面的发现恶意访问,更有针对性的构建私有的IP信誉库,在不同账号和WebACL下共享威胁情报,后续也可以借助亚马逊云科技提供的WAF自动化解决方案对识别到的IP进一步进行自动化拦截,提高WAF对于Web安全事件的全局响应能力。
目录
亚马逊云科技解决方案 基于行业客户应用场景及技术领域的解决方案
联系亚马逊云科技专家
亚马逊云科技解决方案
基于行业客户应用场景及技术领域的解决方案
联系专家
0
目录
关闭