Die ständige Validierung ist ein wesentlicher Bestandteil der Sicherheitsmethodik von PagerDuty – und erfolgt durch kontinuierliche Überwachung und Warnmeldungen. Ein robustes Überwachungssystem hilft uns, Probleme proaktiv zu erkennen und schnell zu lösen.

Hier sind einige der Überwachungs- und Warntaktiken, die wir einsetzen.

Überwachung der Portverfügbarkeit

Mithilfe unserer dynamischen Firewalls pflegen wir eine Liste der Ports, die für die Welt geöffnet oder geschlossen sein sollten. Da diese Informationen auf unserem Chef-Server gespeichert sind, können wir die Prüfungen erstellen, um festzulegen, welche Ports auf jedem Server geöffnet oder geschlossen sein sollten. Wir führen diese Prüfungen dann kontinuierlich durch, und wenn eine fehlschlägt, wir erhalten dafür einen PagerDuty Alarm . Dazu verwenden wir ein Framework namens Gauntlt, da es einfache Überprüfungen der Infrastruktursicherheit sehr einfach macht.

Zentralisierte Protokollierung und Analyse

Wir verwenden derzeit Sumologic für unsere zentralisierte Protokollierung. Aus Sicherheitsgründen tun wir dies, weil eines der ersten Dinge, die ein Angreifer tun kann, darin besteht, alle Protokolle zu unterbrechen, um seine Spuren zu verwischen. Indem wir diese Protokolle an einen anderen Ort verschieben und Musterwarnungen dafür einrichten, können wir schnell auf Probleme reagieren, die wir finden. Darüber hinaus verwenden wir OSSEC, um alle Syslog- und Anwendungsprotokolldaten zu sammeln und zu analysieren.

Aktive Reaktion

Und schließlich verfügen wir für gut verständliche Angriffe über Tools, die ohne Eingaben unserer Teammitglieder Maßnahmen ergreifen können. Wir befinden uns noch in einem sehr frühen Stadium der Implementierung unserer Active-Response-Lösung, aber mit dem Wachstum unserer Infrastruktur werden wir mehr dieser Lösungen entwickeln müssen, damit wir nicht ständig auf Sicherheitsvorfälle reagieren müssen.

• DenyHosts. Wir haben DenyHosts auf jedem Server unserer Infrastruktur bereitgestellt. Wenn ein nicht existenter Benutzer versucht, sich anzumelden, oder wenn es einen weiteren Brute-Force-Angriff gibt, blockieren wir die IP aktiv. Obwohl wir externes SSH auf unserer Infrastruktur deaktiviert haben, nutzen wir dennoch eine Reihe von Gateway- oder „Jump“-Servern, um auf unsere Server zuzugreifen. Seit wir dies im vergangenen Juli eingerichtet haben, haben wir 1.085 eindeutigen IP-Adressen den Zugriff auf unsere Infrastruktur verweigert.

• OSSEC. Wir verwenden das Open-Source-Intrusion-Detection-System OSSEC, um ungewöhnliches Verhalten auf unseren Servern zu erkennen. Es analysiert kontinuierlich kritische Protokolldateien und Verzeichnisse auf anomale Änderungen. OSSEC verfügt über verschiedene Warnstufen. Bei Warnstufen auf niedriger und mittlerer Stufe wird eine E-Mail gesendet, während bei Warnstufen auf hoher Stufe ein PagerDuty Vorfall ausgelöst wird, sodass ein Mitglied unseres Betriebsteams sofort auf das Problem reagieren kann. Derzeit nutzen wir die integrierten Blockierungsfunktionen von OSSEC nicht, aber sobald wir mehr über die gängigen Angriffsmuster auf unsere Infrastruktur erfahren, planen wir, sie zu aktivieren.

Durch proaktive Überwachung halten wir unsere Dienste am Laufen. Die oben aufgeführten Active-Response-Tools geben Hinweise darauf, in welche Richtung wir mit unserer Sicherheitsarchitektur gehen möchten.