Esta é a história de como a RS2 fez a rápida transição do Elastic Cloud, que passou da PoC (prova de conceito) para a produção.

<p>Na RS2, a segurança está no centro de tudo o que fazemos. Nosso carro-chefe, o BankWORKS, é uma solução integrada completa para todas as necessidades de processamento de pagamentos — desde a aquisição de transações de dispositivos até o acordo final e a integração de livros-razão. O software é usado por bancos, processadores e prestadores de serviços de pagamento no mundo inteiro, sejam grandes ou pequenos, simples ou complexos. Também oferecemos o produto como um serviço gerenciado hospedado.<br></p><p>Como equipe, somos responsáveis por garantir a minimização do risco de comprometer ou vazar os dados, em todas as áreas de nosso negócio e, ao mesmo tempo, garantir o cumprimento de vários requisitos de conformidade, além de evitar a interrupção das operações diárias.
</p><p>Em novembro de 2017, tínhamos planos para aumentar nossa equipe de segurança. Antes de obter aprovação para contratações adicionais, entretanto, precisávamos aliviar parte do esforço manual envolvido ao lidar com incidentes e eventos de segurança.  E foi nessa hora que começou nossa jornada com o Elastic Stack.
</p><h2>A jornada da proposta à produção</h2><h3>Etapas iniciais</h3><p>Como já usei antes o Elastic Stack em outras funções e para projetos pessoais, eu gostaria de apresentar o produto à equipe. Eu achava que ele atenderia a todos os nossos requisitos graças ao seu amplo conjunto de recursos e escalabilidade.
</p><p>Nos primeiros dias da minha nova função na RS2, executei as instâncias do Elasticsearch e do Kibana (versão 6 neste caso) em uma máquina virtual em meu laptop, instalei alguns Beats na máquina virtual em si (<a href="/pt/products/beats/packetbeat">packetbeat</a>, <a href="/pt/products/beats/auditbeat">auditbeat</a>, <a href="/pt/products/beats/metricbeat">metricbeat</a> e <a href="/pt/products/beats/filebeat">filebeat</a>) e enviei todos os dados diretamente ao Elasticsearch. O processo inteiro levou cerca de uma hora (sendo 40 minutos para fazer download e instalação da imagem ISO do sistema operacional) para que dados significativos fossem populados no Kibana.
</p><p>Mostrei esse processo ao meu colega e quase que na mesma hora ele concordou que esse era o caminho e que deveríamos criar uma demonstração para a equipe executiva usando dados reais para enfatizar a eficácia. Decidimos incluir alguns dispositivos de rede e servidores existentes que não exigiram nenhuma alteração em nossa rede de produção (usando os Beat e Logstash diferentes), além de algumas integrações de terceiros.
</p><h3>Avaliação da nuvem</h3><p>Em funções anteriores, hospedei grandes implantações da Elastic em vários servidores. Entretanto, eu nunca realmente analisei a oferta Elastic Cloud. Ocorreu de a RS2 estar em um "congelamento de infraestrutura" devido à iminente migração para a nuvem. Essa situação, aliada a prazos apertados e recursos limitados, levou-me a explorar o Elastic Cloud. Como profissional de segurança, eu estava cético. Queria garantir que o serviço foi projetado com algum nível de segurança em mente.
</p><p>Como eu já tinha o cluster, fiz alguns testes de segurança rápidos para ver se conseguia identificar quaisquer vulnerabilidades ou fraquezas evidentes. E foi isto o que descobri:
</p><ul>
	<li>A Elastic permite escolher entre o AWS e o GCP como provedor de nuvem de backend, por isso todos os recursos de segurança são herdados, juntamente com as respectivas certificações de conformidade.</li>
	<li>As redes segregadas são usadas para cada cluster, e não as sub-redes padrão para cada provedor.</li>
	<li>As cifras e configurações TLS modernas são usadas tanto para os URLs do Elasticsearch quanto do Kibana.</li>
	<li>As portas de transporte do Elasticsearch são randomizadas</li>
	<li>As URLs para cada instância também são randomizadas completamente, por isso não é possível enumerar nomes de clientes.</li>
	<li>O acesso direto a IP não é possível sem o ID de cluster</li>
	<li>As versões mais recentes do Elastic Stack são usadas, juntamente com uma versão recente do Java 8.</li>
</ul><h3>Integração</h3><p>Agora que eu dispunha do meu cluster de nuvem, precisava projetar os fluxos de dados. O diagrama a seguir descreve a arquitetura para o POC.
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt61fc66e37e3d1139/5c58424822d96be10bcca5fa/diagram-architecture-for-the-poc.jpg" data-sys-asset-uid="blt61fc66e37e3d1139" alt="Diagrama - Arquitetura para o POC">
</p><p>Como tínhamos o X-Pack disponível para nós, o Watcher foi intensamente utilizado como parte da estrutura de alertas. Isso foi integrado com um Slackbot personalizado usando <a href="/guide/en/x-pack/6.x/actions-webhook.html">ações webhook do Watcher</a>.
</p><h3>Preparação da demonstração – manipulação dos dados</h3><p>A primeira etapa era analisar e enriquecer nossos logs ao máximo. Em um contexto de segurança, o enriquecimento é crucial para resolver incidentes rapidamente, porque ele reduz muito o tempo de investigação para os analistas. Ele também ajuda a filtrar falsos positivos. Usando vários plugins de filtro Logstash, consegui fazer isso com facilidade. Além disso, para complementar a nossa ferramenta de arquivamento de logs existente, consegui configurar várias saídas Logstash para enviar simultaneamente dados ao nosso cluster do Elastic e à ferramenta de arquivamento existente.
</p><p>A seguir está uma lista de algumas operações de enriquecimento adicionadas aos nossos logs analisados:
</p><ul>
	<li><strong>Dados GeoIP (localização e ASN)</strong></li>
	<li><strong>Consultas IP de malware</strong></li>
	<li><strong>Consulta de usuários de logins permitidos</strong></li>
	<li><strong>Análise de agentes de usuários</strong></li>
	<li><strong>Decodificação de URL</strong></li>
</ul><p>Esta é uma lista parcial de enriquecimentos configurados para o POC. Muitos mais foram adicionados depois que fizemos a transição para a produção.
</p><p>Agora que todos esses dados estavam bem analisados, criei painéis personalizados para trabalhar com aqueles internos para realçar alguns dos recursos de enriquecimento mencionados anteriormente. A seguir estão apenas alguns exemplos de alguns painéis personalizados do Kibana que desenvolvemos para o POC (todos os dados confidenciais foram removidos):
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltb7ab98a707dca0f9/5c306721597189c90b02429a/kibana-dashboard-1.jpg" data-sys-asset-uid="bltb7ab98a707dca0f9" alt="Kibana Dashboard 1.jpg">
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt6595ac48c4bae518/5c30671ead674d236e764932/kibana-dashboard-2.jpg" data-sys-asset-uid="blt6595ac48c4bae518" alt="Kibana Dashboard 2.jpg">
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt5bc9e9bfb38a6dba/5c306719682c4c4866a798ec/kibana-dashboard-3.jpg" data-sys-asset-uid="blt5bc9e9bfb38a6dba" alt="Kibana Dashboard 3.jpg">
</p><p><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blt5c6faa73be35d3ce/5c306715e71ce40c6e4ada09/kibana-dashboard-4.jpg" data-sys-asset-uid="blt5c6faa73be35d3ce" alt="Kibana Dashboard 4">
</p><p>Além disso, adicionei algumas outras integrações estilosas referentes à demonstração para mostrar como é simples adicionar dados ao Elastic. Ao final do dia, trata-se apenas de outro índice.  Um exemplo disso foi a integração com o conhecido serviço "Have I been Pwned" de Troy Hunt. O serviço fornece uma API REST bastante útil, que permite consultar se um endereço de e-mail é detectado em violações de dados divulgadas. Foi criado um relógio para nos alertar sobre quaisquer novas entradas para o nosso domínio.
</p><h3>Alertas</h3><p>A ideia por trás da estrutura de alertas no POC (para ser usado mais tarde em produção) era ter tudo produtivo através do Slack. A seguir estão alguns exemplos dos dados manipulados no Slackbot. Tudo o que um analista precisa ter para dar início a uma investigação está incluído. Os dados usados foram coletados por diferentes Beats, e os logs de dispositivo de rede analisados, via Logstash.
</p><p>Alguns dos conjuntos de dados incluíram:
</p><ul>
	<li>Logs de retransmissão SMTP, logs de autenticação e logs de filtragem de pacote dos nossos firewalls</li>
	<li>Solicitações DNS em nível de pacote, usando o Packetbeat</li>
	<li>Logs SSH/SFTP, usando uma combinação entre Wazuh e Filebeat</li>
	<li>Uma lista de processos e seus estados, usando o Metricbeat</li>
	<li>Monitoramento de soquete de rede de saída, usando o Auditbeat em sistemas *nix</li>
</ul><p>A seguir estão apenas alguns exemplos de alguns alertas Slackbot que desenvolvemos para o POC (todos os dados confidenciais foram removidos):
</p><ul>
	<li>Alerta de conexão do TeamViewer<br><br><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltf644ac1b53085987/5c306711b2b2be79676e8480/teamview-connection-detected.jpg" data-sys-asset-uid="bltf644ac1b53085987" alt="Conexão de Teamviewer detectada" width="400"></li>
	<li>Alerta de login de firewall<br><br><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/bltad0c8a7c731c55e7/5c30670d61a626fb0b630156/rs2-security-bot.jpg" data-sys-asset-uid="bltad0c8a7c731c55e7" alt="RS2 - Security Bot - Login de firewall detectado" width="400"></li>
	<li>Alerta de malware<br><br><img src="https://images.contentstack.io/v3/assets/bltefdd0b53724fa2ce/blta3312d2dcbfd2837/5c30670929d13af10bc2aba0/rs2-security-bot2.jpg" data-sys-asset-uid="blta3312d2dcbfd2837" alt="RS2 - Security Bot - Comunicação com IP de malware detectada" width="400"></li>
</ul><h3>Resultados</h3><p>Não é preciso dizer que o POC foi extremamente bem-sucedido e obtivemos aprovação para fazer a transição para a produção. Para recapitular, os principais pontos que nos deixaram passar por este POC tão tranquilamente foram:
</p><ul>
	<li>A facilidade e velocidade excepcionais de usar o Elastic Cloud e tudo o que ele abrange (backups integrados imediatamente, resiliência e alta disponibilidade, X-Pack integrado para o nosso tamanho de implantação).</li>
	<li>A capacidade de introduzir quaisquer dados e torná-los úteis e produtivos muito rapidamente (o POC, do início ao fim, levou cerca de 3 dias inteiros para implementar, incluindo todas as tarefas mencionadas nesta postagem – análise, painéis, enriquecimento, estrutura de alertas e assim por diante).</li>
	<li>O fato de que isso poderia ser feito paralelamente a todos os processos existentes, sem interrupção.</li>
</ul><h2>Manipulação de atualizações</h2><p>Após algumas semanas em produção, houve uma atualização lançada pela Elastic. Como antes eu tinha atualizado grandes implantações do Elastic com o X-Pack, estava bastante curioso em ver como isso era executado por sua plataforma de nuvem. No final tudo foi tão simples quanto selecionar a nova versão em um menu suspenso. Tudo o mais foi feito automaticamente, sem interrupções.
</p><h2>Conclusão</h2><p>Nossa jornada com a Elastic evidentemente não terminou aí. Estamos constantemente adicionando mais fontes de dados, mais enriquecimento (como correlação com nossos sistemas de RH para obter dados de férias dos usuários e sistemas de acesso físico para saber se alguém está ou deveria estar no prédio ou não) e adicionando alertas simultaneamente com base em ameaças e atividades maliciosas recém-descobertas. Também estamos trabalhando na integração com ferramentas internas adicionais que usamos.
</p><p>Estamos empolgados com o futuro da <a href="/pt/solutions/security-analytics">análise de segurança</a> com a Elastic. A cada atualização, a Elastic lança componentes adicionais que tornam as vidas dos analistas mais fáceis, e seus trabalhos mais satisfatórios. Além disso, estamos igualmente empolgados com as próximas atualizações do Elastic Cloud. Sem sombra de dúvida, a RS2 continuará a se beneficiar dos amplos conjuntos de recursos, não só para a análise da segurança, mas em toda a organização.
</p>

Articles by James Spiteri

Uso do Elastic Stack como um canivete suíço para operações de segurança baseada em SaaS

Produtos

Empresa

Recursos