Las respuestas activas, como descartar e ignorar solicitudes, son el único tipo de respuesta automatizada en la que he participado.
Cualquier IPS comercial o Web Application Firewall hace esto. HIDS / HIPS también puede considerarse, para implementaciones extremadamente pequeñas.
Las reglas WAF simples pueden bloquear al atacante por un tiempo limitado si:
- Si el User-Agent es wget o curl o una automatización similar
- Si alguien intenta un exploit conocido, específico y bien definido
- Si alguien intenta una categoría de vulnerabilidad bien definida: recorrido de directorios, inyección de SQL,
El WAF puede ajustarse para incluir bloques para cosas como:
- solicitudes de páginas que indican una tecnología que no tiene (por ejemplo, aspx)
- solicitudes de páginas administrativas comunes /admin.php
Los IPSes también pueden hacer esto, pero son menos precisos en sus firmas, ya que tienden a no proporcionar información sobre el protocolo http, sino paquetes sin procesar. Esto les da algunas habilidades adicionales, como la detección de ataques en el WAF o el propio proxy, o ataques no HTTP / HTTPs.
Este tipo de respuestas normalmente se limitan a firmas de alta confianza. Los proveedores comerciales tienden a incluir factores de confianza en su información de firma y le permiten limitar los bloques en consecuencia.
Snort, McAfee Intrushield, IBM SiteProtector son IPSes que he usado para esto. El ASM de F5 que he usado para las respuestas de WAF. fail2ban, OSSSEC, en el lado de HIDS.
enlace
enlace
Los bloques automatizados se revisan a diario y se monitorean en tiempo real. El riesgo de una firma impactando en la producción es muy real. Las firmas se implementan en un ciclo Dev / Stage / Prod para que las nuevas firmas no lleguen a producción sin un ciclo de prueba completo.