Ho un cliente che è preoccupato per gli attacchi DDOS sul loro sito e vogliono test di penetrazione. Questo aiuterà?

6

Il mio cliente desidera esaminare l'assunzione di una terza parte per eseguire test di penetrazione sul sito Web che stiamo sviluppando per loro. Il sito web è solo un semplice sito di contest di 3 mesi in cui le persone possono caricare le proprie foto e le foto sono giudicate dai moderatori per un vincitore. Il sito sarà ospitato su un server cloud Rackspace (server virtuale). La loro preoccupazione principale, per qualsiasi motivo, sono gli attacchi DDOS. Hanno chiesto di trovare qualcuno che eseguisse test di penetrazione per il sito (manuale, cioè non il tipo automatizzato).

La mia impressione è che i test di penetrazione non facciano molto bene contro gli attacchi DDOS. È un test di penetrazione eccessivo in questa situazione?

    
posta Ben Davis 03.04.2013 - 21:11
fonte

5 risposte

7

La sicurezza è quasi sempre un compromesso. Quando il valore assegnato a sicurezza aumenta, qualche altro valore diminuisce.

Il primo valore che di solito si nota è profitto . Più spendi in sicurezza più sicurezza ottieni ma meno profitti ti ritroverai.

Prima di spendere soldi significativi per la sicurezza (e ricorda che il tempo è denaro ), dovresti provare qualche analisi del rischio.

Determina quali X minuti di downtime costerebbero ai tuoi clienti. Determinare il costo di un compromesso completo del server o di un compromesso parziale (ad esempio un dump del database di sola lettura). Questi costi potrebbero includere la perdita di reputazione che va oltre questa promozione di tre mesi.

Il passo successivo è un po 'più difficile da ottenere numeri precisi per. Cerca di indovinare la probabilità di uno qualsiasi degli scenari di cui sopra. Parlate con i vostri clienti di questo perché potrebbero aver ricevuto minacce o tentativi di estorsione che dovrebbero essere presi in considerazione nelle vostre ipotesi. Dovresti probabilmente includere tempi di inattività dovuti a DDoS non dannoso (altrimenti noto come diventare virale ) perché la strategia di mitigazione è simile e il fatto che sei giù così come dovresti fare più soldi è particolarmente doloroso .

Quando conosci le tue perdite attese , puoi dedicare tempo e denaro a cercare di attenuarle.

Gli DDoS e i test di penetrazione sono cose completamente diverse. Per la protezione DDoS, la cosa più sensata da fare è usare un servizio progettato per fermarlo. Aziende come Verisign e Prolexic hanno servizi che non fanno nulla per te oltre agli attacchi DDoS del filtro. Aziende come CloudFlare dispongono di un servizio di caching e distribuzione CDN che rende il tuo sito più veloce e offre più capacità e include anche la protezione DDoS.

Ci sono due cose da fare per preparare i tentativi di compromesso:

  1. Proteggi il tuo sito il più possibile.
  2. Preparati per ciò che dovrebbe accadere se / quando vieni compromesso

Devi assolutamente provare a fare un semplice test di penetrazione. Prendi uno degli scanner web automatizzati gratuiti e eseguilo sul tuo sito prima che venga pubblicato. Questo troverà le vulnerabilità facili e ti consentirà di correggerle prima di utilizzare i servizi dei tester di penetrazione di terze parti (se hai determinato che valgono il costo). Dovrebbero trovare più di quello che hanno fatto gli scanner automatici.

Per preparare un compromesso, dovresti avere:

  1. Abbastanza monitoraggio per determinare che sei stato compromesso. AIDE / Tripewire / OSSEC sono buoni strumenti per questo.
  2. Backup regolari e un piano testato su come reinstallare da loro. È importante testare i tuoi backup. Non posso dirti quante volte ho visto fallire il primo tentativo di ripristino del test dal backup.
  3. Basta il logging per determinare in che modo l'intruso è entrato. Devi sapere questo e correggere la vulnerabilità o tornerà subito indietro.
  4. Potenzialmente risparmia macchine che possono essere scambiate quando la principale viene compromessa. A volte non vuoi cancellare i computer compromessi perché contengono le prove di come sei stato compromesso ma non puoi lasciarli online e devi mantenere il sito attivo. Ecco a cosa servono le macchine di riserva.
risposta data 03.04.2013 - 23:44
fonte
13

Se il tuo cliente è preoccupato per DDoS, allora una penna standard. test non è la strada da percorrere. Lasciando da parte la questione se si tratti di un problema valido, un approccio potrebbe essere quello di esaminare i test di carico sul sito. Ci sono aziende che eseguiranno test di carico per vedere quanto traffico il sito / server può gestire prima di diventare non disponibile. Questo ti darebbe un'idea di come reagirà al carico pesante. Ovviamente se fai questo tipo di test, dovresti informare e ottenere l'approvazione da Rackspace, in modo da non interpretarlo erroneamente come un attacco. :)

Detto questo, alcuni attacchi DDoS non seguono modelli simili al traffico standard (ad esempio attacchi che utilizzano l'amplificazione DNS). Se si tratta di una preoccupazione seria, consiglierei di considerare i servizi di protezione DDoS (ad esempio CloudFlare / Akamai) come realisticamente non c'è molto che si possa fare su quel tipo di cose sul server o anche potenzialmente sul livello dell'ISP in caso di attacchi di grandi dimensioni.

    
risposta data 03.04.2013 - 22:26
fonte
10

Se gli attacchi DDOS sono la preoccupazione, i test di penetrazione non aiuteranno a prevenirli o rilevarli.

Gli attacchi DDOS, per la maggior parte, non causano più danni che impedire agli utenti di accedere al sito Web / servizio / ecc. Di solito un DDOS può essere visto quando le richieste invadono continuamente il server più rapidamente di quanto il server possa rispondere. Per prevenire gli attacchi DDOS, è necessario mettere in atto una sorta di sistema di monitoraggio che solleverà gli allarmi se vengono ricevute troppe richieste da un dato IP. In poche parole.

Detto questo, per un sito di contest di 3 mesi, non vedo perché qualcuno vorrebbe interrompere il sito web e il test di penetrazione è sempre utile.

    
risposta data 03.04.2013 - 21:27
fonte
9

In questa situazione specifica, non direi solo che non va bene, mi raccomando anche di non farlo.

Gli attacchi DDoS richiedono un gran numero di aggressori e, nel tuo caso, il tuo cliente essere efficacemente pagando qualcuno per attaccare i server di Rackspace. Cattiva idea.

Per ulteriori informazioni sugli attacchi DDoS, controlla questa risposta che illustra la natura dell'attacco.

    
risposta data 03.04.2013 - 21:27
fonte
1

Un test di penetrazione non aiuterà la resilienza di DDoS, perché, per dirla semplicemente, DDoS non mette al sicuro il tuo sito. Un test della penna si basa sulla ricerca di modi per superare la sicurezza del tuo sito, mentre un DDoS semplicemente travolge la capacità del tuo sito. Per vedere come ti comporterai contro un attacco DDoS, devi eseguire test di carico, non test di penetrazione. Rackspace ha in realtà un articolo sui test di carico. Se decidi di caricare il test, ti consigliamo di controllare con Rackspace che ti sia permesso farlo; è tecnicamente un DDoS in sé, che è ovviamente contro i termini di servizio e roba, quindi assicurati di leggere quella stampa fine.

    
risposta data 04.04.2013 - 14:41
fonte

Leggi altre domande sui tag