Мониторинг событий ИБ — мастерим «дашборд»

OWASP Russia MeetUp

#owasp_ru

Зачем?

• Телевизор не только для «Mortal Combat» ;)

• Хотим в произвольный момент времени знать о текущем состоянии безопасности в компании

• Анализировать тенденции

Выбор решения

• Простая и понятная архитектура

• Metro-стиль удобен для ТВ

• Готовые виджеты в комплекте + большая библиотека сторонних

• HTTP API

• Ruby/Sinatra на сервере

• SCSS, HTML и CoffeeScript в браузере

• Лицензия MIT

Наши «доделки»

• Вместо встроенного планировщика задач — crontab

• Вместо Ruby — Python + общий модуль

• Интеграция чере API с трекерами и другими внутренними сервисами

Светофор безопасности

<div data-id="svetofor" data-view="Image" data-title="Светофор безопасности"

data-image="/red.png">

</div>

Внутри

from pyjobslib import get_config, send_event, get_jira_issues

config = get_config()

jql = u'resolution=Unresolved AND "Security Bug"= да \

AND priority > Critical'

blocker_len = len(get_jira_issues(jql))

state = 'green'

...

if blocker_len > 0:

state = 'red'

elif critical_len > 0:

state = 'yellow'

send_event('svetofor', {'image': '/' + state + '.png'})

Мониторим

• Незакрые «долгие» уязвимости

• «Светофор безопасности»

• Очередь на аудит безопасности

• Количество сообщений в «Охоте за ошибками»

• «Фид» последних обнаруженных уязвимостей

• Инфраструктурные проблемы

Что ещё можно мониторить

• События систем безопасности (IDS/WAF/CSP)

• Доступность и нагрузка систем

• Вирусная активность

• Проникновения в «ханипоты»

• Динамика по типам уязвимостей

• КПД bugbounty-программы

• Твиттер, курс рубля и цену на нефть

• Всё, что угодно!

Почитать и посмотреть

• shopify.github.io/dashing

• «Как запилить свой дешборд на все случаи жизни?», журнал Хакер clck.ru/9NQNp

• «Securing eCommerce with Data Metrics», Corey Benninger, YaC 2013 clck.ru/9NQFZ

Тарас Иващенко Руководитель группы продуктовой

безопасности, Яндекс oxdef@yandex-team.ru