Die kontinuierliche Validierung ist ein wesentlicher Bestandteil der Sicherheitsstrategie von PagerDuty und erfolgt durch ständige Überwachung und Alarmierung. Ein robustes Überwachungssystem hilft uns, Probleme proaktiv zu erkennen und schnell zu beheben.

Hier sind einige der Überwachungs- und Alarmierungstaktiken, die wir einsetzen.

Hafenverfügbarkeitsüberwachung

Mithilfe unserer dynamischen Firewalls verwalten wir eine Liste von Ports, die für den öffentlichen Zugriff geöffnet oder geschlossen sein sollen. Da diese Informationen auf unserem Chef-Server gespeichert sind, können wir die Prüfungen implementieren, welche Ports auf jedem Server geöffnet oder geschlossen sein sollten. Diese Prüfungen werden dann kontinuierlich ausgeführt, und wenn eine fehlschlägt, Wir erhalten eine PagerDuty Benachrichtigung dazu. Wir verwenden hierfür ein Framework namens Gauntlt, da es einfache Überprüfungen der Infrastruktursicherheit sehr leicht macht.

Zentralisierte Protokollierung und Analyse

Wir nutzen derzeit Sumologic für unsere zentrale Protokollierung. Aus Sicherheitsgründen tun wir dies, da Angreifer häufig als Erstes die Protokollierung unterdrücken, um ihre Spuren zu verwischen. Indem wir diese Protokolle extern speichern und entsprechende Warnmeldungen einrichten, können wir schnell auf auftretende Probleme reagieren. Zusätzlich verwenden wir OSSEC, um alle Syslog- und Anwendungsprotokolldaten zu erfassen und zu analysieren.

Aktive Reaktion

Schließlich verfügen wir für gut erforschte Angriffe über Tools, die ohne Eingreifen unserer Teammitglieder aktiv werden können. Wir befinden uns zwar noch in der frühen Phase der Implementierung unserer aktiven Reaktionsstrategie, aber mit dem Wachstum unserer Infrastruktur werden wir weitere solcher Lösungen entwickeln müssen, um nicht ständig auf Sicherheitsvorfälle reagieren zu müssen.

• DenyHosts. Wir haben DenyHosts auf allen Servern unserer Infrastruktur implementiert. Versucht ein nicht existierender Benutzer, sich anzumelden, oder findet ein Brute-Force-Angriff statt, blockieren wir die IP-Adresse aktiv. Obwohl externes SSH in unserer Infrastruktur deaktiviert ist, nutzen wir weiterhin Gateway- oder Jump-Server, um auf unsere Server zuzugreifen. Seit der Einrichtung im vergangenen Juli haben wir 1.085 eindeutige IP-Adressen vom Zugriff auf unsere Infrastruktur ausgeschlossen.

• OSSEC. Wir nutzen das Open-Source-Intrusion-Detection-System OSSEC, um verdächtiges Verhalten auf unseren Servern zu erkennen. Es analysiert kontinuierlich kritische Logdateien und Verzeichnisse auf anomale Änderungen. OSSEC verfügt über verschiedene Alarmstufen: Bei niedrigen und mittleren Alarmstufen wird eine E-Mail versendet, während bei hohen Alarmstufen ein PagerDuty Vorfall erstellt wird, sodass ein Mitglied unseres Betriebsteams umgehend reagieren kann. Aktuell nutzen wir die integrierten Blockierungsfunktionen von OSSEC noch nicht, planen aber, diese zu aktivieren, sobald wir mehr über die gängigen Angriffsmuster auf unsere Infrastruktur erfahren.

Durch proaktives Monitoring stellen wir den reibungslosen Betrieb unserer Dienste sicher. Die oben genannten Tools für aktive Reaktion geben einen Hinweis darauf, wohin wir unsere Sicherheitsarchitektur entwickeln möchten.