План расследования (коротко, по этапам)
$1$ Срочная изоляция/контейция:
- Включить/обновить WAF-правила для блокировки всплеска.
- Ввести временное глобальное/эндпоинтное ограничение скорости (rate limit).
- Не перезапускать серверы/контейнеры и не очищать логи — это может уничтожить доказательства.
$2$ Сбор доказательств (для форензики):
- Web-серверные логи (access/error), app-логи и лог аутентификации — full timestamps.
- Заголовки HTTP запросов и тела POST (payloads), включая raw requests.
- Значения cookie/сессий, JWT/API-ключи, параметры запроса.
- X-Forwarded-For, True-Client-IP, Proxy-цепочки, User-Agent, Referer/Origin.
- WAF/IDS/IPS события, firewall deny/accept.
- Сетевые дампы (pcap) для окна инцидента и системные снимки памяти/процессов при подозрении на компрометацию.
- Снимки баз данных (чтобы зафиксировать изменения) и журналы приложений вокруг времени инцидента.
- Метаданные клиентов: геолокация IP, ASN, частота запросов, межзапросные интервалы.
- Документировать порядок действий и сохранить контроль целостности (хеши файлов).
$3$ Анализ и корреляция:
- Сгруппировать по IP/USER/API-key/Session ID; определить pattern (повторяющиеся payloads, одинаковые заголовки).
- Определить скорость атак ($r$ запросов/мин с одного источника и распределение по источникам).
- Определить успешные и неудачные логины, изменение пароля, создание сессий.
- Проверить наличие успешных действий после аутентификации (privilege escalation, data exfiltration).
$4$ Отчёт и восстановление:
- Составить краткий отчёт с timeline, impact (какие аккаунты/данные затронуты), и рекомендованные меры.
- Провести принудительную смену сессионных токенов/ключей, информировать пользователей при необходимости.
- Внедрить долговременные меры (см. ниже).
Вероятные типы атак — признаки, доказательства и немедленные меры
Brute-force (перебор паролей)
- Описание: многочисленные неудачные попытки логина на один/несколько учётных записей.
- Признаки: большой процент 401/403 по одному username, частые попытки с одного/нескольких IP, похожие User-Agent/интервалы.
- Доказательства: лог аутентификации с timestamp, IP, username, request body; последовательность попыток; хеши паролей/успешные входы.
- Немедленные меры: временная блокировка/замораживание аккаунтов после $N$ неудач (например, $5$), rate limiting, CAPTCHA, требовать MFA.
Brute-force с прокси / распределённый (credential stuffing)
- Описание: распределённые попытки с множества прокси/IP (botnet, облака), цель — обойти блокировки.
- Признаки: множество разных IP/ASN/гео, схожие payloads, краткие интервалы, X-Forwarded-For inconsistencies, разные IP но одинаковый fingerprint (UA, headers).
- Доказательства: корреляция по fingerprint, списки IP/ASN, pattern payload, использование известных прокси/tor нод.
- Немедленные меры: блокировка ASN/провайдеров при подтверждении, жесткие rate limits на уровень аккаунта и на API-ключ, проверка device fingerprinting, ввод CAPTCHA и обязательный MFA для критичных действий.
CSRF
- Описание: запросы, инициированные с чужого сайта браузером пользователя, использующие его действительную сессию.
- Признаки: POST/transactional запросы с действительными cookies/session, отсутствует или неправильный CSRF-токен, Referer/Origin указывает внешний домен.
- Доказательства: сравнение токенов с хранимыми; Referer/Origin; факт совпадения cookie и действий, которые пользователь якобы не совершал.
- Немедленные меры: валидировать/внедрить CSRF-токены, проверять Origin/Referer, для критичных операций требовать подтверждение (MFA, re-auth), уменьшить длительность сессии.
API abuse / abuse of functionality
- Описание: злоупотребление публичных/внутренних API (mass scraping, resource exhaustion, бизнес-логика abuse).
- Признаки: необычно высокий throughput на API endpoint, повторяющиеся идентичные запросы, превышение нормальных шаблонов использования, аномальные параметры.
- Доказательства: access logs по endpoint, payloads, используемые API-ключи/токены, request rates per key.
- Немедленные меры: временно деактивировать/ротация ключей, усилить rate limits per API-key and per IP, внедрить quotas, добавить валидацию входных данных, активировать WAF rules.
Какие конкретно доказательства собрать (список)
- Полные web-access логи и app-логи за период $T$ (например, $\pm 24$ часа вокруг всплеска).
- Raw HTTP requests (headers + body).
- Список IP/sample requests, pcap для сетевого трафика.
- Снимки процесса/памяти при подозрении на malware.
- Логи аутентификации и изменений учётных записей.
- WAF/IDS alerts и их тела.
- Снимки/экспорт соответствующих записей БД.
- Контрольные суммы/хеши собранных артефактов и chain-of-custody.
Немедленные (приоритетные) меры по смягчению
- Включить/обновить WAF и блокировать подтверждённые злонамеренные IP/ASN/Tor.
- Ввести rate limiting: per-IP и per-account (например, ограничить до $X$ запросов/мин — настройка по вашей нагрузке).
- Внедрить аккаунтные блокировки после $N$ неудачных попыток и уведомления пользователей.
- Включить MFA для входа и критичных операций.
- Ввести CAPTCHA для endpoint-ов логина/регистрации/чувствительных запросов.
- Ротация и аннулирование скомпрометированных API-ключей/токенов и принудительный logout.
- Усилить валидацию CSRF (tokens + Origin/Referer), ограничить CORS.
- Увеличить логирование и мониторинг, настроить алерты на аномалии (спайки запросов, неудачные логины).
- Ограничить доступ к административным endpoint-ам по IP и VPN.
Короткие рекомендации по порядку действий сейчас
$1$ Включить block/rate-limit на всплеск.
$2$ Собрать и зашифровать логи/pcap и сделать снимки систем.
$3$ Ввести временные mitigations: CAPTCHA/MFA/lockouts/ротация ключей.
$4$ Проанализировать pattern, определить тип атаки и откорректировать политику безопасности (WAF, правила блокировки).
$5$ Сообщить заинтересованным сторонам и подготовить план пост-инцидентного hardening.
Если надо, могу дать шаблон запросов для извлечения нужных данных из common web-логов (nginx/apache) и примеры WAF-правил — скажите, какие технологии у вас (nginx, AWS ALB/WAF, Cloudflare и т.д.).