modello di e-mail di notifica di attacco / abuso

Naviga le tue risposte
7

Sto costruendo un modello da utilizzare quando invii notifiche di "abuso" a ISP, provider di hosting, ecc. per quando gli attacchi hanno origine dal loro netblock.

Esistono esempi di modelli utilizzati per questo scopo che sono stati ben progettati o controllati o che altrimenti riflettono ciò che è consigliabile / sconsigliabile includere in queste notifiche?

In altre parole:

  • Quali informazioni dovrebbero essere incluse in tale notifica
  • Quali informazioni dovrebbero non essere incluse in tale notifica
posta tylerl 10.10.2012 - 23:44
fonte

3 risposte

5

Dovrebbe contenere tutte le informazioni necessarie sull'attacco e quale azione vorresti che facessero. Alcune informazioni chiave includono:

  • Indirizzo IP dell'host che esegue l'attacco
  • Il tipo di attacco o attività proveniente da quell'host
  • I dettagli dei tuoi server
    • Ciò potrebbe includere l'indirizzo IP / i del / i server / i che vengono attaccati
  • Chiedi loro di indagare sull'incidente e di segnalarti
  • Se l'attacco è dannoso, spiega loro come ti ha influenzato

Potrebbero volerci del tempo per rispondere a te, quindi sii paziente.

    
risposta data 11.10.2012 - 06:20
fonte
4

Sono d'accordo con i dettagli generali che Hammo ha già delineato, anche se consiglierei di esaminare tutti i requisiti del proposto Abuse Reporting Format (ARF) per l'inclusione nei messaggi automatici. Gli ISP ricevono un grande volume di messaggi e seguendo questo standard (o lo standard proposto così com'è) è più probabile che consenta un'elaborazione efficace dei messaggi.

link

link

    
risposta data 15.10.2012 - 17:41
fonte
2

Personalmente ritengo sia impossibile progettare un modello che soddisfi la necessità di tutti gli scenari di segnalazione degli abusi. Quindi consiglierei di sviluppare uno strumento che si occupi di interrogare l'utente (interno / esterno) delle informazioni richieste in base al tipo di abuso e al tipo di dettagli richiesti per essere inviati o che si prevede di ricevere.

Detto questo, ecco un inizio su qualcosa che può essere incorporato in un modello:

template.abuse: 

Date/Time of abuse       : {<date/time format>}
TimeZone                 : [<pick-list>]
Contact Name             : {<free-form>}
Contact Email(s)         : {<free-form>}
Wish to remain anonymous : [Y|N]
Contact Business         : {<free-form,expected:name of business if relavent>}
Contact Business Address : {<free-form,expected:address of business if relavent>}
Type of abuse            : [<pick-list, e.g.:
Open relay/Proxy/NNTP
Phishing report
Virus or Worm
Offensive material
Copyright
Network attack
Spam
Port scan
>
                           //
#import(Type of abuse)     // <-- imports fields relevant for the type of abuse
                           // e.g. "Virus or Worm" -> template.virus_or_worm
                           // see below...

]    
Additional Notes         : { free-form,e.g.:
Ports Scanned
Bulk content details
Etc.
}

template.virus_or_worm: 

Source of Abuse          : {<free-form,expected: IPs, email addresses, usernames, etc>}
Evidence                 : {<free-form,expected: logs, emails, etc>}

La cosa importante da togliere è che non è una buona idea avere un modello generico per "tutto" quando gli utenti finiscono per selezionare le cose che "credono" le etichette sulla forma piuttosto che il loro significato.

E lo strumento interattivo (web-app / modulo o altro) che aiuta l'utente consentendo loro di selezionare "Altro tipo di abuso" laddove l'abuso non sia elencato in modo specifico, consentirebbe di raccogliere / inviare informazioni più pertinenti riducendo i problemi indesiderati.

Vedi anche piccoli inizi: link

    
risposta data 17.10.2012 - 17:57
fonte

Leggi altre domande sui tag

Throttling tentativi di accesso falliti: timeout esponenziale? per IP? usando un cookie di sessione? captcha? Sicurezza delle carte di credito senza contatto