Le risposte attive come l'eliminazione e l'ignoranza delle richieste sono l'unico tipo di risposta automatica in cui mi sono impegnato.
Qualsiasi IPS commerciale o Web Application Firewall fa questo. Anche HIDS / HIPS possono essere considerati, per implementazioni estremamente ridotte.
Le semplici regole WAF potrebbero bloccare l'attaccante per un tempo limitato se:
- Se l'User-Agent è wget o curl o simile automazione
- Se qualcuno tenta un exploit noto, specifico e ben definito
- Se qualcuno prova una categoria di exploit ben definita: directory traversal, SQL injection,
Il WAF può essere sintonizzato per includere blocchi per cose come:
- richieste di pagine che indicano una tecnologia che non hai (ad es. aspx)
- richieste di pagine amministrative comuni /admin.php
Gli IPS possono anche farlo ma sono meno precisi nelle loro firme poiché tendono a non fornire informazioni sul protocollo http, ma invece su pacchetti non elaborati. Ciò fornisce loro alcune abilità extra come il rilevamento di attacchi sul WAF o sul proxy stesso o attacchi non HTTP / HTTP.
Questo tipo di risposte sono normalmente limitate a firme ad alta sicurezza. I venditori commerciali tendono a includere i fattori di fiducia nelle loro informazioni sulla firma e consentono di limitare i blocchi di conseguenza.
Snort, McAfee Intrushield, IBM SiteProtector sono IPS a cui mi sono abituato. ASM di F5 che ho usato per le risposte WAF. fail2ban, OSSSEC, sul lato HIDS.
link
link
I blocchi automatizzati vengono esaminati quotidianamente e monitorati in tempo reale. Il rischio di una firma che incide sulla produzione è molto reale. Le firme vengono distribuite su un ciclo Dev / Stage / Prod in modo che le nuove firme non raggiungano la produzione senza un ciclo completo di test.