Страж безопасности. Защищаем периметр при помощи Wazuh

Пред­ставь ситу­ацию: ты вро­де бы все меры защиты уже реали­зовал, необ­ходимые (и дорогос­тоящие) средс­тва купил и даже внед­рил и нас­тро­ил, но неуве­рен­ность все же оста­лась...

Впро­чем, даже это слиш­ком радуж­ная кар­тина. В боль­шинс­тве ком­паний информа­цион­ная безопас­ность толь­ко вста­ет на пря­мые рель­сы, ведущие в свет­лое и безопас­ное будущее. Мно­гие про­цес­сы не опре­деле­ны или даже не работа­ют, про­дук­ты защиты не до кон­ца нас­тро­ены или не внед­рены и так далее. Нет пол­ной инвента­риза­ции ИТ‑акти­вов, непонят­ны сег­менты сети, их защищен­ность и мар­шру­тиза­ция в них.

Имен­но в таком сос­тоянии и были дела в ком­пании, где я недав­но раз­ворачи­вал сис­тему безопас­ности на базе Wazuh. Я работал с этой плат­формой и рань­ше и знал ее потен­циал, так что сом­нений в выборе не было.

С помощью Wazuh мы пер­вым делом про­вели инвента­риза­цию, что­бы понять лан­дшафт: из чего сос­тоит наша инфраструк­тура, где есть или могут быть сла­бые мес­та. Далее нас­тро­или сбор событий безопас­ности и запус­тили сис­тему управле­ния уяз­вимос­тями (Vulnerability Management). Это поз­волило нам получить чет­кое пред­став­ление о текущем сос­тоянии инфраструк­туры и соз­дать осно­ву для даль­нейше­го укрепле­ния.

В статье я раз­беру основные момен­ты того, как работа­ет Wazuh, какие пре­иму­щес­тва он дает и как может стать осно­вой для устой­чивой безопас­ности ком­пании любого раз­мера. А так­же рас­ска­жу о прак­тичес­ких при­мерах его исполь­зования.

Что такое Wazuh?

Wazuh — это сов­ремен­ная мно­гофун­кци­ональ­ная плат­форма с откры­тым исходным кодом, объ­еди­няющая в еди­ное решение фун­кции обна­руже­ния втор­жений, защиту информа­цион­ных сис­тем от широко­го спек­тра угроз и реаги­рова­ния на инци­ден­ты. Wazuh отсле­жива­ет и дан­ные и ана­лизи­рует кор­реляции в них на осно­ве пра­вил. Это поз­воля­ет выяв­лять ано­маль­ные дей­ствия и получать сво­евре­мен­ную информа­цию об угро­зах.

Мо­дуль­ная струк­тура в сочета­нии с откры­тым исходным кодом плат­формы обес­печива­ет мас­шта­биру­емость и гиб­кость, что облегча­ет ее адап­тацию под пот­ребнос­ти орга­низа­ций раз­ного мас­шта­ба. Wazuh собира­ет, нор­мализу­ет и кор­релиру­ет дан­ные, пос­тупа­ющие из раз­ных источни­ков: от аген­тов, уста­нав­лива­емых в ОС, из логов syslog и так далее. К тому же Wazuh мож­но интегри­ровать с дру­гими сис­темами безопас­ности и ана­лити­чес­кими плат­форма­ми.

Вот основные типы событий, которы­ми опе­риру­ет Wazuh:

• ошиб­ки при­ложе­ний и сис­тем;
• со­обще­ния о некор­рек­тных нас­трой­ках;
• ин­форма­ция о вре­донос­ных дей­стви­ях или попыт­ках совер­шить их;
• со­обще­ния о наруше­нии политик и дру­гих мер безопас­ности;
• из­менение атри­бутов фай­лов или наруше­ние целос­тнос­ти;
• ре­зуль­таты ска­ниро­вания ПО;
• све­дения об опе­раци­онной сис­теме, запущен­ных про­цес­сах, уста­нов­ленных при­ложе­ниях, инвента­риза­цион­ная информа­ция (серий­ный номер, тип про­цес­сора, количес­тво RAM и тому подоб­ные).

Верхнеуровневая архитектура Wazuh

Да­вай пос­мотрим, какие есть виды вза­имо­дей­ствия ком­понен­тов.

1. Аген­ты и менед­жер:
   • Аген­ты уста­нав­лива­ются на раз­ных устрой­ствах и пос­тоян­но монито­рят сис­тему на пред­мет изме­нений, потен­циаль­ных угроз или ано­малий.
   • Соб­ранные дан­ные отправ­ляют­ся менед­жеру.
2. Ме­нед­жер и сер­вис индекса­ции:
   • Ме­нед­жер ана­лизи­рует получен­ные от аген­тов дан­ные и фор­миру­ет опо­веще­ния при обна­руже­нии угроз.
   • Об­работан­ные дан­ные и опо­веще­ния отправ­ляют­ся в сер­вис индекса­ции через API на порт 9200 (TCP) для хра­нения и даль­нейше­го ана­лиза.
3. Ме­нед­жер и база дан­ных:
   • Ме­нед­жер вза­имо­дей­ству­ет с базой дан­ных для хра­нения нас­тро­ек, политик безопас­ности и дру­гой необ­ходимой информа­ции.
4. Па­нель управле­ния и менед­жер/сер­вис индекса­ции:
   • Па­нель управле­ния обра­щает­ся к менед­жеру через API на пор­те 55000 (TCP) для получе­ния информа­ции.
5. Поль­зовате­ли и панель управле­ния:
   • Поль­зовате­ли получа­ют дос­туп к сис­теме через веб‑интерфейс панели управле­ния.

Сценарии использования

Те­перь давай пос­мотрим, как Wazuh мож­но интегри­ровать в лан­дшафт орга­низа­ции.

На схе­ме выше показа­ны рабочие про­цес­сы орга­низа­ции. Устрой­ства сот­рудни­ков и вир­туаль­ные машины сер­висов обо­рудо­ваны аген­тами Wazuh, которые поз­воля­ют отсле­живать события, свя­зан­ные с безопас­ностью, вклю­чая сбор логов и монито­ринг активнос­ти. Эти дан­ные цен­тра­лизо­ван­но отправ­ляют­ся в основную ана­лити­чес­кую сис­тему Wazuh для деталь­ного ана­лиза.

Со­бытия, получа­емые от фай­рво­ла для веб‑при­ложе­ний (WAF), так­же нап­равля­ются на сер­вер Wazuh. Этот про­цесс помога­ет пос­тоян­но монито­рить ата­ки на веб‑при­ложе­ния.

Ло­ги, пос­тупа­ющие из сис­тем управле­ния иден­тифика­цией и дос­тупом (Identity and Access Management, IAM), тоже интегри­рова­ны с Wazuh. Их ана­лиз поз­воля­ет сис­теме выяв­лять нетипич­ные дей­ствия поль­зовате­лей, а так­же фик­сировать успешные и неудач­ные попыт­ки авто­риза­ции. Это кри­тичес­ки важ­но, что­бы сво­евре­мен­но замечать потен­циаль­ные слу­чаи ком­про­мета­ции уче­ток.

Дан­ные событий от VPN-соеди­нений, переда­ваемые в Wazuh, вклю­чают информа­цию об успешных и неудач­ных попыт­ках под­клю­чения через VPN — полез­но, что­бы выяв­лять ата­ки вро­де под­бора пароля, плюс мож­но выяв­лять попыт­ки вхо­да из необыч­ных стран.

Ито­го у нас есть интегра­ция с WAF IAM и VPN, что, сог­ласись, доволь­но неп­лохо.

Wazuh поз­воля­ет соз­давать поль­зователь­ские декоде­ры и пра­вила для детек­тирова­ния раз­ных событий безопас­ности. Декоде­ры выпол­няют нор­мализа­цию событий, упро­щая их ана­лиз, тог­да как пра­вила поз­воля­ют опе­ратив­но опо­вещать о кри­тичес­ких инци­ден­тах.

Даль­ше раз­берем основные при­меры исполь­зования этих воз­можнос­тей на прак­тике.

Защита Active Directory

С помощью нас­тро­енных пра­вил поль­зовате­ли Wazuh могут ана­лизи­ровать события Directory Replication Service (DRS) из жур­налов событий Windows. Это полез­но, ког­да нуж­но фик­сировать ано­малии в зап­росах реп­ликации, харак­терные для атак DCSync. Зада­ешь под­ходящие пра­вила для опре­делен­ных EventID и их свой­ств, и сис­тема обес­печит сво­евре­мен­ное опо­веще­ние о подоз­ритель­ных дей­стви­ях.