Question 1:- assuming the polling interval is acceptable, is this a strong enough defense? Could the malicious code fool the polling code?
No, non è una difesa abbastanza strong. Sì, il codice dannoso può identificare il server / servizio di polling tramite IP, User Agent, ecc. E fornire il file pulito all'agente di polling mentre continua a offrire file dannosi ad altri. Certo, puoi provare a prevenire il rilevamento modificando regolarmente gli IP e gli agenti utente dell'agente, ma anche il codice dannoso può adattarsi per rilevare la tua modifica.
Pur servendo contenuti diversi in base al cliente è di per sé una cosa banale da fare, il fatto che l'hacker sappia che tale salvaguardia è in atto non è banale (è più simile a una sicurezza attraverso l'oscurità). Il modo in cui un utente malintenzionato può sapere di tale salvaguardia è quando conosce la propria architettura (minaccia interna) o se si attraversano i cicli di compromesso di > fix- > abbastanza a lungo da consentirgli di limitare la causa del rilevamento dei compromessi. / p>
Question 2:- Is there a better way to reduce the window of risk other than reducing the polling interval, which creates unnecessary traffic.
Il modo migliore per ridurre il rischio è di avere difesa in profondità :
- Avere strumenti di integrità dei file basati su host come tripwire per guardare i file in questione.
- La sconfitta di questa difesa richiede un compromesso dell'host
- A seconda della sensibilità dei file e del livello di paranoia, configura gli strumenti di distribuzione per ricostruire i tuoi file ogni ora.
- La sconfitta di questa difesa richiederà un compromesso di rete.
- Monitoraggio remoto dei tuoi file come descritto.
- Sconfiggere questa difesa richiede 1.) compromissione della macchina remota o 2.) sufficiente conoscenza / ricognizione del tuo sistema.
- Distribuire strumenti di rilevamento / prevenzione delle intrusioni basati su host come snort , fail2ban , denyhosts per rilevare l'intrusione.
- La sconfitta di questa difesa richiede un attacco che non crea molto rumore nei file di registro e / o elude il rilevamento basato sulla firma, ad es. difetti del livello applicativo.
- Distribuire un firewall per applicazioni Web es. ModSecurity per rilevare anomalie a livello di applicazione.
- Per sconfiggerlo è necessario un attacco di livello inferiore che dovrebbe essere rilevato in modo ideale nel punto sopracitato.
Anche se tutte le misure di cui sopra non possono garantire la sicurezza, tuttavia riducono la superficie di attacco e rendono difficile un compromesso riuscito e non rilevato.