La domanda che segue deriva da un assunto errato secondo cui l'autore dell'attacco è in grado di falsificare IP quando effettua la connessione HTTP. Ma l'autore di un attacco isn ' t in grado di falsificare IP se non ha accesso diretto alla connessione tra server e questo client
Molti tecnici di sicurezza consigliano di impostare il livello di rilevamento degli attacchi. I componenti principali suggeriti sono registrazione di tutti gli eventi di sicurezza e impostazione di IDS e SIEM.
Ecco le principali attività che sono rese possibili dopo aver impostato il rilevamento degli attacchi usando logging, IDS e SIEM. I miei commenti perché non sembrano efficienti sono anche sotto.
-
Blocca l'utente malintenzionato Potremmo bloccare richieste apparentemente maligne. Ma il rilevamento delle richieste rischia di essere soggetto a errori e molte richieste malevoli passeranno comunque attraverso il livello di rilevamento.
Potremmo bloccare l'IP dell'attaccante. Ma IMO sarà dannoso. L'attaccante è in grado di falsificare IP e inviare richieste dagli IP di utenti legittimi. Il blocco di questi IP renderà IP DoS (come Account DoS , ma IP). < br> Modifica: @schroeder ha affermato che bloccare l'IP dell'attaccante, anche se falsificato, è un'azione necessaria. Tuttavia, l'utente malintenzionato può invadere il server con varie richieste malevoli. Non posso bloccarli tutti perché sono troppo diversi e qualsiasi ID avrà falsi negativi. Non riesco a bloccare gli IP di tali richieste come dopo che gli utenti legittimi verranno bloccati. Anche un utente malintenzionato può bloccare un determinato utente se conosce il suo IP inviando richieste malevoli da IP falsificato. Ecco perché penso che gli IP non dovrebbero essere bloccati se le richieste sembrano dannose. Penso che gli IP dovrebbero essere bloccati solo in caso di DDoS in quanto ho bisogno di bloccare qualcuno affinché l'app sia disponibile per gli utenti legittimi. -
Coinvolgere azioni legali dopo il compromesso
Nel caso di un hack, la reputazione dell'app sarà compromessa. L'azione legale non riporterà la reputazione e le entrate perse. Potrebbe essere difficile andare in tribunale se l'attaccante proviene da un altro paese. Non darà alcun profitto se non mostrare "Non ci infrangere più". -
Invia il report all'ISP dell'aggressore Ha gli stessi problemi dell'elemento 1 dato che l'attaccante è in grado di inviare richieste da moltissimi IP falsificati. L'invio di report è impossibile in quanto non sappiamo se tali richieste provenivano da un IP reale o da uno spoofing. Sarà impossibile trovare l'IP dell'attaccante effettivo da quelli
-
Controlla i log per scoprire i vettori di attacco e i buchi vicini se esistono Ma dubito che la revisione dei registri possa aiutare a scoprire buchi nella sicurezza. Le patch virtuali sono implementate usando WAF, non IDS
-
Generazione di molte statistiche e linee di base. Ma IMO non aiuterà a proteggere l'app.
Quindi gli attacchi di rilevamento IMO non sembrano essere efficaci. Cosa mi è mancato?