La validation constante est un élément essentiel de la méthodologie de sécurité de PagerDuty. Elle s'effectue par le biais d'une surveillance et d'alertes continues. Un système de surveillance robuste nous aide à détecter les problèmes de manière proactive et à les résoudre rapidement.

Voici quelques-unes des tactiques de surveillance et d’alerte que nous utilisons.

Surveillance de la disponibilité des ports

Grâce à nos pare-feu dynamiques, nous maintenons une liste de ports qui doivent être ouverts ou fermés au monde. Étant donné que ces informations sont conservées dans notre serveur Chef, nous sommes en mesure d'établir les contrôles pour déterminer quels ports doivent être ouverts ou fermés sur chaque serveur. Nous exécutons ensuite ces contrôles en continu, et si l'un d'entre eux échoue, nous recevons une alerte PagerDuty pour cela Nous utilisons un framework appelé Gauntlt pour ce faire, car il rend les vérifications simples de la sécurité de l'infrastructure très faciles.

Enregistrement et analyse centralisés

Nous utilisons actuellement Sumologic pour notre journalisation centralisée. Du point de vue de la sécurité, nous le faisons car l'une des premières choses qu'un attaquant peut faire est de fermer toute journalisation pour cacher ses traces. En expédiant ces journaux ailleurs et en configurant des alertes de modèle sur eux, nous pouvons réagir rapidement aux problèmes que nous trouvons. En plus de cela, nous utilisons également OSSEC pour collecter et analyser toutes les données des journaux syslog et des applications.

Réponse active

Enfin, pour les attaques bien comprises, nous disposons d’outils qui peuvent agir sans intervention des membres de notre équipe. Nous en sommes encore au tout début de la mise en œuvre de notre réponse active, mais à mesure que notre infrastructure se développe, nous devrons développer davantage de ces solutions afin de ne pas avoir à réagir constamment aux incidents de sécurité.

• DenyHosts. Nous avons déployé DenyHosts sur chaque serveur de notre infrastructure. Si un utilisateur inexistant tente de se connecter ou s'il y a une autre attaque par force brute, nous bloquons activement l'IP. Bien que le SSH externe soit désactivé sur notre infrastructure, nous utilisons toujours un ensemble de serveurs de passerelle ou de « saut » pour accéder à nos serveurs. Depuis la mise en place de ce système en juillet dernier, nous avons bloqué l'accès à notre infrastructure à 1 085 adresses IP uniques.

• OSSEC. Nous utilisons le système de détection d'intrusion open source OSSEC pour détecter les comportements étranges sur nos serveurs. Il analyse en permanence les fichiers journaux et répertoires critiques à la recherche de modifications anormales. L'OSSEC dispose de différents « niveaux » d'alerte ; les alertes de niveau faible et moyen enverront un e-mail, tandis que les alertes de haut niveau créeront un incident PagerDuty afin qu'un membre de notre équipe des opérations puisse répondre immédiatement au problème. Nous n'exploitons pas actuellement les capacités de blocage intégrées d'OSSEC, mais à mesure que nous en apprendrons davantage sur les modèles d'attaque courants sur notre infrastructure, nous prévoyons de les activer.

La surveillance proactive est notre façon de maintenir nos services opérationnels. Les outils de réponse active répertoriés ci-dessus donnent une idée de la direction que nous souhaitons prendre avec notre architecture de sécurité.