Avvisi protetti per un'applicazione Web monitorata

2

Qual è un buon metodo per ricevere avvisi di sicurezza?

L'email è la prima cosa che viene in mente, anche se è suscettibile agli attacchi MITM (ad esempio, un utente malintenzionato che impedisce l'invio della posta elettronica). Anche se questo non è un attacco pratico in quanto il MITM di solito non è posizionato in modo appropriato per farlo funzionare (spesso il recupero delle e-mail avviene tramite SSL, ed è difficile per gli attaccanti intercettare la consegna effettiva). Potrebbero esserci altri attacchi, ad esempio l'attaccante DDoSing del server di posta per impedire che vengano ricevuti gli avvisi.

Il messaggio di testo sembra un buon modo, tuttavia il numero di avvisi attivati potrebbe essere elevato e inadatto per questo formato.

Un altro modo può essere un'app mobile in modo che gli avvisi possano essere ricevuti in qualsiasi momento o da qualsiasi luogo. Tuttavia, se l'app non è attualmente installata, gli avvisi non verranno ricevuti (ad esempio, gli utenti cambiano telefono, ecc., Mentre formati come email e messaggi di testo sono universali).

Stiamo cercando di monitorare un'applicazione inhouse, rivolta a Internet distribuita nel cloud da un punto di vista della sicurezza e vorremmo ricevere avvisi come i seguenti per essere registrati e eventualmente avvisati:

  • Tentativi di password errati.
  • Formulari inviati con token CSRF errati.
  • Si è tentato di accedere agli URL a cui l'utente non dovrebbe essere in grado di accedere (ad esempio se l'utente tenta di passare a /Admin o se c'è qualche manomissione dei parametri - /Project/1234 è cambiato in /Project/4567 dall'utente).

In poche parole, qualsiasi minaccia alla sicurezza che può essere gestita internamente dall'applicazione che vorremmo sapere che è stata tentata. Non siamo interessati a provare a rilevare i tentativi di XSS o qualsiasi cosa "extra" al di fuori della nostra funzionalità applicativa, semplicemente vorremmo sapere quando una delle regole di sicurezza esistenti viene attivata in modo da poterla monitorare ed eventualmente intervenire su di essa. Per regole di sicurezza intendo la logica aziendale all'interno dell'applicazione al fine di proteggerla in modo che questo sistema possa essere effettivamente implementato a livello di codice per decidere su cosa dovremmo essere in allerta.

Gli eventi di sicurezza sono già registrati, tuttavia il controllo di questi registri è un processo manuale. Potremmo introdurre il concetto di soglia per ridurre i falsi positivi. Ad esempio, un tentativo di password errata viene registrato solo, tuttavia 5 tentativi errati di fila contro un account di un particolare IP attivano un avviso.

Quindi, per riassumere, sto cercando un modo sicuro e affidabile per essere avvisato quando viene attivato un evento di sicurezza. Attraverso il codice personalizzato o qualche altro metodo, ho la sensazione che si tratti di un problema già risolto. Questo sarà combinato con IDS in futuro, quindi questo è puramente dal punto di vista interno dell'applicazione.

Attualmente sto pensando che la soluzione di testo ed e-mail potrebbe essere adatta, tuttavia il testo e l'e-mail si attivano solo una volta e visualizzano solo un collegamento per accedere all'applicazione di monitoraggio per visualizzare l'attività.

    
posta SilverlightFox 27.08.2014 - 12:59
fonte

2 risposte

2

Nagios ha una funzione che rileva ciò che viene chiamato "flapping" che potresti implementare tu stesso. Fondamentalmente comincerà ad inviarti messaggi di testo, ma si fermerà se passerà un certo tresshold entro un determinato periodo di tempo per un tipo simile di messaggio di avviso. Spetta a te decidere i presidi e gli intervalli e la classificazione degli eventi.

Messaggi di testo ed e-mail sono una buona idea per il monitoraggio. Ma assicurati di registrare anche un ticket per ogni incidente e assicurati che per ogni ticket chiuso sia fornita una risoluzione o una risposta dettagliata (solo la posta elettronica non fornisce una tracciabilità sufficiente).

Puoi anche usare logstash e kibana o se sei un po 'più ricco di Splunk per eseguire l'aggregazione automatica dei dati e il dashboarding per rendere il processo meno doloroso durante il controllo dei log.

    
risposta data 27.08.2014 - 13:40
fonte
1

Email e SMS sono soluzioni in testo semplice. È possibile inserire una chiave pubblica sul server e crittografare eventuali avvisi inviati su qualsiasi supporto in modo che siano illeggibili e possano essere decifrati solo dai destinatari autorizzati. Il pezzo di crittografia ti darebbe riservatezza. Ciò fornirebbe anche un certo grado di integrità perché un avviso falso potrebbe essere inserito solo se il server è stato compromesso, MitM ha modificato con successo il testo cifrato mentre l'email o gli SMS viaggiano intorno alla rete è molto meno probabile.

Dal lato della disponibilità, potresti voler utilizzare più metodi. Se i dati sono crittografati, perché non inviare SMS, e-mail, averli scritti su un registro - magari RSS, ecc. Puoi anche richiedere un qualche tipo di rilevamento di battito cardiaco e poi agire se non ricevi il battito cardiaco dopo un certo periodo di tempo . Per garantire che i singoli messaggi non vengano persi, è possibile assicurarsi che ciascun messaggio abbia un numero di serie incrementale.

    
risposta data 28.08.2014 - 04:46
fonte

Leggi altre domande sui tag