Qual è un buon metodo per ricevere avvisi di sicurezza?
L'email è la prima cosa che viene in mente, anche se è suscettibile agli attacchi MITM (ad esempio, un utente malintenzionato che impedisce l'invio della posta elettronica). Anche se questo non è un attacco pratico in quanto il MITM di solito non è posizionato in modo appropriato per farlo funzionare (spesso il recupero delle e-mail avviene tramite SSL, ed è difficile per gli attaccanti intercettare la consegna effettiva). Potrebbero esserci altri attacchi, ad esempio l'attaccante DDoSing del server di posta per impedire che vengano ricevuti gli avvisi.
Il messaggio di testo sembra un buon modo, tuttavia il numero di avvisi attivati potrebbe essere elevato e inadatto per questo formato.
Un altro modo può essere un'app mobile in modo che gli avvisi possano essere ricevuti in qualsiasi momento o da qualsiasi luogo. Tuttavia, se l'app non è attualmente installata, gli avvisi non verranno ricevuti (ad esempio, gli utenti cambiano telefono, ecc., Mentre formati come email e messaggi di testo sono universali).
Stiamo cercando di monitorare un'applicazione inhouse, rivolta a Internet distribuita nel cloud da un punto di vista della sicurezza e vorremmo ricevere avvisi come i seguenti per essere registrati e eventualmente avvisati:
- Tentativi di password errati.
- Formulari inviati con token CSRF errati.
- Si è tentato di accedere agli URL a cui l'utente non dovrebbe essere in grado di accedere (ad esempio se l'utente tenta di passare a
/Admin
o se c'è qualche manomissione dei parametri -/Project/1234
è cambiato in/Project/4567
dall'utente).
In poche parole, qualsiasi minaccia alla sicurezza che può essere gestita internamente dall'applicazione che vorremmo sapere che è stata tentata. Non siamo interessati a provare a rilevare i tentativi di XSS o qualsiasi cosa "extra" al di fuori della nostra funzionalità applicativa, semplicemente vorremmo sapere quando una delle regole di sicurezza esistenti viene attivata in modo da poterla monitorare ed eventualmente intervenire su di essa. Per regole di sicurezza intendo la logica aziendale all'interno dell'applicazione al fine di proteggerla in modo che questo sistema possa essere effettivamente implementato a livello di codice per decidere su cosa dovremmo essere in allerta.
Gli eventi di sicurezza sono già registrati, tuttavia il controllo di questi registri è un processo manuale. Potremmo introdurre il concetto di soglia per ridurre i falsi positivi. Ad esempio, un tentativo di password errata viene registrato solo, tuttavia 5 tentativi errati di fila contro un account di un particolare IP attivano un avviso.
Quindi, per riassumere, sto cercando un modo sicuro e affidabile per essere avvisato quando viene attivato un evento di sicurezza. Attraverso il codice personalizzato o qualche altro metodo, ho la sensazione che si tratti di un problema già risolto. Questo sarà combinato con IDS in futuro, quindi questo è puramente dal punto di vista interno dell'applicazione.
Attualmente sto pensando che la soluzione di testo ed e-mail potrebbe essere adatta, tuttavia il testo e l'e-mail si attivano solo una volta e visualizzano solo un collegamento per accedere all'applicazione di monitoraggio per visualizzare l'attività.