Abbiamo attacchi di blocco NIPS basati su comportamenti errati (regole che controllano i dati nei pacchetti di rete). Devo bloccare l'IP che il NIPS ha collegato ai tentativi di attacco? Sembra che il NIPS stia già bloccando l'attacco.
Allo stesso tempo, qual è il rischio che un IP venga riutilizzato più volte con attacchi diversi? (e la possibilità che uno di questi attacchi dallo stesso IP non sia noto al NIPS)
Parlo principalmente del traffico in arrivo dall'esterno.
Considerazione n. 1
Prestazioni. Con dispositivi di dimensioni adeguate (IPS e firewall), i firewall sono generalmente più efficienti nel bloccare il traffico.
Considerazione n. 2
Garantire che il blocco si trovi sul perimetro della rete. Dovrai bloccare il traffico il più vicino possibile al bordo della rete per ridurre il carico, il rischio, ecc.
Considerazione n. 3
Non si tratta solo di un riutilizzo di un pirata informatico, si tratta di fermare un attacco prima che ha successo. Comunemente, la best practice sulla sicurezza consiste nel bloccare gli IP che sono stati identificati come azioni dannose contro l'infrastruttura della propria organizzazione (ad esempio, ipotesi di forza bruta, scansione delle porte persistenti, scansioni di vulnerabilità non autorizzate) dopo sono stati confermati come dannoso. Vale a dire, se gli IP vengono bloccati in modo permanente, ci dovrebbe essere un certo livello di convalida manuale, dal momento che ci sono errori legittimi che possono assomigliare ad attacchi (ad esempio, errori di accesso dal dispositivo di un utente dopo una modifica della password) quindi non si desidera bloccare affari legittimi. C'è una domanda che ho sentito postata da un po 'di tempo che può aiutare a rafforzare la necessità di una verifica manuale: Qual è la differenza tra un attacco DDoS e un sito web di successo?
Sì, dovresti.
Ma dovresti anche chiedertelo per quanto tempo bloccherai qualsiasi indirizzo che è entrato nella tua lista nera. I valori ragionevoli possono variare da pochi minuti a settimane, a seconda del tema della disponibilità, come indicato nel commento di @Philipp.
Ovviamente, bloccando un IP si corre il rischio di bloccare un utente altrimenti legittimo. Ma allo stesso tempo, devi assicurarti di mantenere il tuo servizio e anche per tutti gli altri utenti.
Se stai semplicemente ignorando gli IP rilevati dal tuo NIPS, potresti anche spegnerlo.
Ci sono diversi campi di pensiero su questo, un utente sopra menzionato quanto importante è la disponibilità per te, altre cose da considerare, quanto sono buoni i tuoi backup, quanto è seria la minaccia, hai un WAF che puoi utilizzare , puoi spostare l'infrastruttura pubblica di fronte al cloud e utilizzare DDOS, WAF e firewall appropriati.
Vado sempre dalla parte della cautela e importa le blacklist che ci sono state inviate dall'FBI e dal caveau di alieni OTX che sono rilevanti per le mie verticali o semplicemente brutte.
Gran parte di questo dipende purtroppo dall'infrastruttura, dalle esigenze del cliente e dalla sicurezza di cui hai bisogno / vuoi essere.
Con qualsiasi server Web che ho eseguito personalmente in passato, ho bloccato le regole della blacklist con la manutenzione automatica, se qualcuno stava tentando di tentare qualcosa di malevolo, sono stati respinti automaticamente per un breve periodo di tempo, quindi sempre più a lungo fino a quando non sono state date alcune possibilità e perma nella lista nera.