Pattern di attacco comunemente osservati modellati nelle configurazioni Honeypot

3

(A giudicare dalle votazioni e dalle risposte, ho fallito piuttosto male nel fare una domanda che nella mia mente era perfettamente chiara. Chiaramente ho sbagliato, ho cercato di riformulare la domanda originale per riflettere più precisamente il mio originale pensato, e ora con l'aiuto di due buone risposte a una domanda terribile!)

Domanda:

Qualcuno si è imbattuto in un repository di configurazioni Honeypot modellate in base al CAPEC e un insieme di metriche appropriate per scoprire il modello di attacco in questione?

Sfondo

Rapporti e discussioni spesso circondano il numero di violazioni confermate, come DBIR et al. Sebbene sia possibile trarre una serie di conclusioni da questi dati sull'efficacia dei meccanismi di sicurezza, non è certamente un compito facile, né particolarmente accurato.

Ho saputo di CAPEC qualche mese fa e sono stato reintrodotto solo di recente su Honeypot. Un tentativo di violazione fallito potrebbe, se modellato correttamente, dimostrare cosa esattamente ha impedito il tentativo di violazione e quindi quali meccanismi di sicurezza effettivamente funzionano.

(Avendo avuto di recente il DBIR presentato da uno degli autori originali, era solo in una minoranza di casi in cui, ad esempio, un IDS era responsabile della scoperta della violazione.)

    
posta Christoffer 16.05.2013 - 16:35
fonte

2 risposte

2

Mentre la domanda è un po 'generica - la risposta è sì. Questa è la buona notizia, la cattiva notizia è che dovrai lavorare.

Che cosa intendo?

Esiste un eccellente strumento per la modellazione delle minacce chiamato PTA - Analisi delle minacce pratiche (è possibile scaricarlo dal nostro sito Web www.software.co.il). Se segui la metodologia della mappatura delle risorse, delle minacce (violazioni ..), delle vulnerabilità (persone, sistemi, rete, software) e delle contromisure di sicurezza, sarai in grado di costruire un modello abbastanza buono del tuo sistema. Il software PTA mostrerà quindi quali sono le contromisure più convenienti in base al valore del bene, alla probabilità di verificarsi della minaccia e al livello di danno / minaccia.

Per quanto riguarda le metriche - le metriche sono in un certo senso i dati di misurazione per un modello di minaccia. Riguardo alle violazioni dei dati - non sapendo quale tipo di risorse si sta cercando di proteggere - è difficile per me darvi una risposta generale, ma vorrei raccogliere le metriche dai firewall / IPS, appliance DLP (se ne avete uno) e i registri di autenticazione di Linux - come il numero di tentativi di accesso falliti, i tentativi di accesso root ecc.

Se sei interessato alle metriche, ti consiglio vivamente di leggere Jaquith "Security Metrics", disponibile su Amazon.

Spero che questo ti dia una certa direzione

    
risposta data 16.05.2013 - 19:23
fonte
2

La natura della domanda è vaga e la parola "modello" non è definita in questo caso. Ma cercherò di parlare di Honeypot come una potenziale risposta alla domanda.

Un Honeypot (o una serie di Honeypot) è progettato per consentire che una violazione si verifichi in un ambiente sicuro. Da questa risorsa, il vettore di attacco può essere determinato così come un'inferenza rispetto all'obiettivo previsto. Ogni "hit" riuscito di Honeypot può essere definito come un tentativo di violazione "fallito".

Diversi Honeypot possono acquisire diversi tipi di dati su diversi tipi di attacchi e consente a un'organizzazione di determinare l'efficacia delle tecnologie di protezione implementate. Honeypot basati su servizi, basati su rete, basati sulla rete e, recentemente, basati su password consentono a un ricercatore di modellare il tipo di attacco e raccogliere ulteriori dati sui prossimi passaggi previsti dell'attacco. Molti Honeypot acquisiscono file caricati e codice per un'analisi più approfondita, che sembra soddisfare il desiderio dell'OP di modellare i dati, se questo è ciò che intendeva con il termine.

Posizionare gli Honeypot all'interno e all'esterno dei limiti di protezione consente di confrontare i tentativi di attacco al fine di quantificare ulteriormente l'efficacia delle misure di protezione alla luce di effettivi attacchi o eventi di sondaggio.

Sembra che la domanda intenda distinguere tra una "sonda" e una potenziale "violazione" (altrimenti, si potrebbe semplicemente raccogliere i dati sugli eventi e supporre che ognuno sia un tentativo di violazione fallito, di cui esistono molti dati ). Gli Honeypot consentono a questo tipo di differenziazione di consentire a un probe di passare a un attacco, raccogliendo quindi i dati richiesti per modellare e categorizzare.

    
risposta data 16.05.2013 - 20:11
fonte

Leggi altre domande sui tag