Puoi sapere se un attacco ha esito positivo guardando i registri IPS?

8

Nella mia organizzazione, abbiamo un IPS dietro un firewall. Ogni volta che viene attivato un evento di sicurezza, mi chiedo se l'attacco abbia davvero successo. Per gli eventi che sono impostati per essere inseriti in linea, possiamo essere certi che l'attacco non avrà probabilmente esito negativo. Ma come determinare se un attacco ha esito positivo per gli eventi che sono impostati solo per avvisare?

In casi come questi, guarderei il payload e il PCAP per afferrare quante più informazioni possibile. Tuttavia, la maggior parte delle volte, non riesco ancora a determinare se l'attacco ha avuto successo.

Per casi come questi, come determinare se un attacco ha esito positivo?

    
posta Fred1234 14.08.2011 - 12:46
fonte

3 risposte

4

Un attacco riuscito per definizione non verrà rilevato da IPS o IDS.

Quali IPS e IDS sono buoni per eliminare i kiddy script, i worm e simili attaccanti.

Se si desidera disporre di un'applicazione Web relativamente sicura, è necessario utilizzare un firewall di applicazione Web con un set di regole di rifiuto predefinito. Sì, mi fa male configurarlo in questo modo e ci vorrà un po 'di tempo, d'altra parte, è davvero una soluzione "fuoco e dimentica". L'unica volta che la serie di regole deve cambiare è quando l'applicazione cambia (di cui sei a conoscenza), non quando gli aggressori pensano a un nuovo modo di aggirare IPS o IDS (di cui tu o il vostro fornitore IPS / IDS non siete a conoscenza) .

IPS e IDS "enumerano la cattiveria" e questo non funziona più: Le sei idee più stupide in Sicurezza del computer

    
risposta data 14.08.2011 - 16:57
fonte
4

Dipende dal prodotto. Alcuni prodotti hanno la capacità di acquisire i pacchetti di risposta e i pacchetti di attacco. Alcuni prodotti, IBM Proventia, annotano l'evento originale con una notifica di successo / errore, che puoi vedere se apri i dettagli dell'evento. Ad esempio, tutti gli eventi HTTP in Proventia includeranno non solo l'URL dell'attacco, ma anche il codice di risposta (200, 404, 500, ecc.).

    
risposta data 14.08.2011 - 20:45
fonte
1

Ci sono due modi per eseguire un IDS:

  • per rilevare tentativi di attacco
  • per rilevare attacchi riusciti

La modalità è definita dalle regole che sono abilitate. Nella maggior parte degli ambienti, come il tuo, non esiste una strategia chiara che porti all'attivazione di entrambi i tipi di eventi.

Se vuoi rilevare solo gli attacchi che hanno avuto successo (e ignorando i tentativi che comunque non hanno successo), abilita semplicemente le firme per i prodotti e le versioni che stai utilizzando. Ad esempio, se non si utilizza Apache, disabilitare tutte le firme di Apache. Potrebbe essere necessario del tempo per raccogliere dati sull'inventario del software e implementarlo sull'IDS. Inoltre, dovresti apportare modifiche all'IDS ogni volta che cambia il tuo panorama software. Non sottovalutare lo sforzo per questo. Ma poi sei in grado di determinare i tentativi di attacco e il possibile successo che potrebbero avere un impatto sul tuo ambiente prima o poi.

Inoltre, le firme IDS / IPS di solito vengono fornite con categorie . Ad esempio i filtri di protezione di TippingPoint stanno usando le categorie Ricognizione per l'enumerazione, Vulnerabilità per il rilevamento di problemi di sicurezza comuni e Exploit per azioni provocate da veri e propri tentativi di attacco. Eliminare le categorie abilitate potrebbe anche aiutare a prevenire il rumore non collegato ad attacchi riusciti.

    
risposta data 26.06.2016 - 00:03
fonte

Leggi altre domande sui tag