Alternative al blocco di indirizzi IP sospetti?

1

Penso che ogni azienda utilizzi lo stesso processo di blocco degli indirizzi IP che generano traffico sospetto come mezzo per mitigare gli attacchi. Tuttavia, questo è un processo senza fine di inseguire gli attaccanti invece di essere un passo avanti agli aggressori.

Esistono metodi che vanno oltre il semplice blocco dell'IP del traffico sospetto? Soprattutto dal momento che qualsiasi attaccante che valga qualcosa sarà sempre spoofing del proprio IP.

Ad esempio, c'è un modo per: segnalare il traffico sospetto, analizzare il traffico, creare un'impronta digitale del traffico, sviluppare una firma basata sull'impronta digitale e infine automatizzare il processo di soppressione preventiva del traffico che corrisponde alla firma contaminata.

Ha senso? Per favore, chiedi chiarimenti se non ha senso.

PS: questo è il mio primo post su SE, quindi spero che sia tutto a posto.

    
posta Sarwar 22.09.2016 - 16:27
fonte

1 risposta

1

Ci sono altre alternative, honeypot collettivi che generano liste di attaccanti comuni sono un'alternativa. Gestisco un elenco creato dal risultato di alcuni honeypot (sia pubblici che privati) e alcuni server di produzione che possiedo.

C'è un modo per analizzare tutto su internet come un sistema di identificazione globale? Sì, c'è, ma se prima hai mai usato un sistema IDS / IPS, immaginerai quanti falsi positivi verranno generati e la quantità di potenza di elaborazione necessaria per eseguirlo su scala globale.

Puoi concentrarti sulla protezione della tua azienda, un buon firewall, firewall di applicazioni Web, una soluzione IDS / IPS, buone procedure interne, politiche di sicurezza, pentests regolari, soluzioni antivirus, addestrando gli utenti in modo che non si aprano su tutto ciò ricevono via e-mail e l'elenco continua, ci sono diverse cose che puoi fare per aiutarti.

Puoi sempre fare un lavoro proattivo, ma immagina lo scenario in cui l'attaccante, non ha mai attaccato nessun altro host prima, quindi non sarà in nessuna lista, e il suo primo attacco è contro la tua compagnia. È il concetto di pre-crimine , come facevi a sapere che tenterà di fare qualcosa e bloccarlo prima?

Non aspettarti mai che una soluzione ti renderà sicuro al 100% , se applichi la mia lista al tuo firewall, sarai comunque vulnerabile allo scenario sopra descritto e a molti altri. Ma di solito gli host che sono compromessi e diventano parte di una botnet, lancerà diversi tipi di attacchi e scansioni. Tienilo a mente quando provi a bloccare qualcosa.

    
risposta data 22.09.2016 - 16:58
fonte

Leggi altre domande sui tag