Agire per tentativi di exploit

4

Recentemente ho visto circa 40 hit in un secondo per la seguente regola Snort - signature id 1: 16008 , che corrisponde al CVE-2007- 6239 : "... consente agli autori di attacchi in remoto di causare un Denial of Service (arresto anomalo) tramite i vettori sconosciuti relativi alle intestazioni HTTP ...". Sia gli IP di origine che di destinazione sono IP interni (privati).

Che cosa dice la saggezza generale a questo riguardo? - questi hit una tantum devono essere presi seriamente e devono essere intraprese alcune azioni, come bloccare l'IP sorgente? (beh, ho appena eseguito Snort in modalità IDS, quindi non posso fare alcuna azione, ma volevo sapere questo per avere più comprensione di questo) O gli Admins dovrebbero di solito aspettare di vedere i colpi ripetuti prima di decidere che questo non è un falso trigger ma un avviso vero?

Quindi, mettendomi nei panni dell'amministratore di rete, devo fare qualcosa? Capisco che questo potrebbe essere un po 'difficile rispondere con le informazioni limitate che ho, ma spero di avere qualche idea - controllare le macchine per una possibilità di essere compromesso, bloccare temporaneamente il traffico verso gli indirizzi IP ecc ...

    
posta pnp 25.09.2012 - 14:01
fonte

2 risposte

2

Hai un 'evento' ma devi qualificarlo come un 'incidente' oppure no. Esegui alcune indagini per scoprire la causa principale e, se non ci sono dati sufficienti per prendere una decisione, imposta un monitoraggio aggiuntivo sull'host sospetto e sulla destinazione.

Non tutti gli eventi sono incidenti, ma ogni evento deve essere adeguatamente qualificato.

Per la "saggezza generale" guarda " Incidente Risposta ' policies e procedure .

Per i passaggi pratici immediati, vorrei monitorare l'host, cercare altri eventi di rete che potrebbero essere correlati e rivedere le mie regole di Snort per assicurarmi di essere aggiornato e se ci sono modifiche al CVE- 2007-6239 regole che potrei fare.

    
risposta data 11.10.2012 - 01:41
fonte
2

Se stai vedendo tentativi di exploit ripetuti da un particolare indirizzo IP, ha senso bloccarlo, o meglio ancora farlo con NAT a honeypot . Certo, molti attaccanti avranno un'intera serie di server compromessi da cui possono provare, quindi bloccare uno di loro non li fermerà, tuttavia li costringerà a rispondere a te e potrebbe convincerli che valgono altri obiettivi.

Non ti ossessionare però, potresti passare tutto il giorno a bloccare gli IP e ci sarà ancora un milione in più.

    
risposta data 25.09.2012 - 15:00
fonte

Leggi altre domande sui tag