Perché preoccuparsi del rilevamento degli attacchi?

-1

La domanda che segue deriva da un assunto errato secondo cui l'autore dell'attacco è in grado di falsificare IP quando effettua la connessione HTTP. Ma l'autore di un attacco isn ' t in grado di falsificare IP se non ha accesso diretto alla connessione tra server e questo client

Molti tecnici di sicurezza consigliano di impostare il livello di rilevamento degli attacchi. I componenti principali suggeriti sono registrazione di tutti gli eventi di sicurezza e impostazione di IDS e SIEM.

Ecco le principali attività che sono rese possibili dopo aver impostato il rilevamento degli attacchi usando logging, IDS e SIEM. I miei commenti perché non sembrano efficienti sono anche sotto.

  1. Blocca l'utente malintenzionato Potremmo bloccare richieste apparentemente maligne. Ma il rilevamento delle richieste rischia di essere soggetto a errori e molte richieste malevoli passeranno comunque attraverso il livello di rilevamento.
    Potremmo bloccare l'IP dell'attaccante. Ma IMO sarà dannoso. L'attaccante è in grado di falsificare IP e inviare richieste dagli IP di utenti legittimi. Il blocco di questi IP renderà IP DoS (come Account DoS , ma IP). < br> Modifica: @schroeder ha affermato che bloccare l'IP dell'attaccante, anche se falsificato, è un'azione necessaria. Tuttavia, l'utente malintenzionato può invadere il server con varie richieste malevoli. Non posso bloccarli tutti perché sono troppo diversi e qualsiasi ID avrà falsi negativi. Non riesco a bloccare gli IP di tali richieste come dopo che gli utenti legittimi verranno bloccati. Anche un utente malintenzionato può bloccare un determinato utente se conosce il suo IP inviando richieste malevoli da IP falsificato. Ecco perché penso che gli IP non dovrebbero essere bloccati se le richieste sembrano dannose. Penso che gli IP dovrebbero essere bloccati solo in caso di DDoS in quanto ho bisogno di bloccare qualcuno affinché l'app sia disponibile per gli utenti legittimi.

  2. Coinvolgere azioni legali dopo il compromesso
    Nel caso di un hack, la reputazione dell'app sarà compromessa. L'azione legale non riporterà la reputazione e le entrate perse. Potrebbe essere difficile andare in tribunale se l'attaccante proviene da un altro paese. Non darà alcun profitto se non mostrare "Non ci infrangere più".

  3. Invia il report all'ISP dell'aggressore Ha gli stessi problemi dell'elemento 1 dato che l'attaccante è in grado di inviare richieste da moltissimi IP falsificati. L'invio di report è impossibile in quanto non sappiamo se tali richieste provenivano da un IP reale o da uno spoofing. Sarà impossibile trovare l'IP dell'attaccante effettivo da quelli

  4. Controlla i log per scoprire i vettori di attacco e i buchi vicini se esistono Ma dubito che la revisione dei registri possa aiutare a scoprire buchi nella sicurezza. Le patch virtuali sono implementate usando WAF, non IDS

  5. Generazione di molte statistiche e linee di base. Ma IMO non aiuterà a proteggere l'app.

Quindi gli attacchi di rilevamento IMO non sembrano essere efficaci. Cosa mi è mancato?

    
posta Andrei Botalov 02.05.2012 - 21:32
fonte

3 risposte

7

Sareste sorpresi di quanto sia comune rilevare un attacco, inviare un rapporto di attacco alla società il cui indirizzo IP proviene dall'attacco e ricevere una risposta che riporta che la macchina compromessa è stata messa in quarantena grazie al vostro rapporto. Parte di essere un buon cittadino di rete sta aiutando altri amministratori a rilevare e rispondere ai sistemi compromessi in modo che non continuino a fare danni.

    
risposta data 02.05.2012 - 23:59
fonte
3

Blocco IP

Il blocco di un IP basato su pattern potrebbe non essere così brutto come pensi. È possibile bloccare il pattern senza bloccare l'IP, ad esempio (blocco scansioni dell'albero di Natale, pacchetti non validi, stati non validi), che un host benigno non invierà mai. Questi pattern non influenzano il normale traffico verso un sito dallo stesso IP.

Se un utente malintenzionato sta attaccando la tua applicazione e puoi rilevarla, devi chiuderla e non importa se hanno falsificato un IP o meno. Ma considera quali tipi di attacchi sei preoccupato. Puoi scegliere di consentire le sonde, ma è necessario affrontare gli attacchi interattivi e questi sono difficili da falsificare.

Devi anche valutare l'impatto del blocco di alcuni IP rispetto alla possibilità di servire molti altri IP. Un DoS da una dozzina di IP, anche se falsificato, deve essere bloccato o nessuno sarà in grado di accedere all'applicazione.

Rilevamento soggetto a errori

C'è un processo di ottimizzazione del tuo IDS per ridurre i falsi negativi e i falsi positivi, ma questo è normale.

Più che bloccare

Uno degli altri motivi per identificare i pattern è determinare i modi in cui l'applicazione e l'infrastruttura del server devono essere migliorate per evitare compromessi. Forse è necessario installare un nuovo filtro di input o potenziare un flusso logico. Esaminando i log IDS, puoi identificare e mitigare questo tipo di cose.

Not the Whole Story

I log sono l'inizio della storia, non la fine. Hai bisogno di rivedere, analizzare e agire come risultato delle informazioni. Ed è allora che ottieni i vantaggi a lungo termine del logging e del rilevamento degli attacchi.

    
risposta data 02.05.2012 - 21:55
fonte
1

Come dice David Schwartz, tutto ciò che sapete sull'attacco (inizialmente) è l'indirizzo IP da cui proviene - e di solito sarà un'altra vittima dello stesso cappello nero.

Negli ultimi due anni ho visto un aumento della quantità di sondaggi per i proxy HTTP aperti, al punto che ora è maggiore delle sonde ssh. Storicamente il problema era con i relay di posta - ma fortunatamente la maggior parte delle persone ha imparato a configurare correttamente i loro MTA e ci sono protocolli e tecniche in un ampio uso per prevenire l'abuso.

Quindi, sì, dire alle persone che probabilmente sono state violate e che vengono utilizzate per attacchi proxy è una buona pratica.

(la misura in cui le persone dovrebbero essere responsabili dei danni fatti da una terza parte utilizzando i loro computer è un argomento interessante - ma forse un po 'fuori tema in risposta a questo post).

Ma non devi aspettare che tutti gli altri recuperino per trarre vantaggio dagli attacchi di monitoraggio. Chiudendo immediatamente la porta a tali attacchi si limita a rendere l'attaccante consapevole del fatto che li hai individuati, se sono determinati, torneranno indietro tramite una rotta diversa. C'è anche il rischio di falsi positivi - perdere clienti legittimi. Per alcune organizzazioni questo può essere molto importante, molto più importante della semplice perdita della loro attività.

OTOH, non si dovrebbe permettere a un aggressore di fare ciò che vuole con impunità. Avendo identificato un potenziale attacco, hai quindi la capacità di identificare in che modo hanno compromesso le tue difese e, ancora più importante, quali dati stanno cambiando. Quindi, tranne nel caso in cui l'obiettivo dell'attaccante sia quello di estrarre i dati dai tuoi sistemi, dovresti essere in grado di annullare le modifiche, interrompere pagamenti / ordini che vanno fuori dalla porta, invertire i defacement ecc.

Sì, è davvero difficile perseguire rimedi legali in tutte le giurisdizioni, ma ci sono ancora benefici nella gestione delle difese.

    
risposta data 03.05.2012 - 16:21
fonte

Leggi altre domande sui tag