Patrones de ataque observados comúnmente modelados en configuraciones de Honeypot

3

(Juzgando por votación y respuestas, fallé bastante mal al hacer una pregunta que en mi cabeza era muy clara. Claramente estaba equivocada. Desde entonces he intentado reformular la pregunta original para reflejar con más precisión mi original pensamiento, y ahora con la ayuda de dos buenas respuestas a una pregunta terrible!)

Pregunta :

¿Alguien ha encontrado un repositorio de configuraciones de Honeypot basadas en el CAPEC y un conjunto de métricas adecuadas para descubrir el patrón de ataque en cuestión?

Background

Los informes y las discusiones a menudo rodean el número de infracciones confirmadas, como DBIR et al. Si bien es posible extraer una serie de conclusiones a partir de estos datos sobre la efectividad de los mecanismos de seguridad, ciertamente no es una tarea fácil, ni particularmente precisa.

Hace unos meses me enteré de CAPEC y recientemente he sido reintroducido en Honeypots. Un intento fallido de incumplimiento podría, si se modela correctamente, demostrar qué evitó exactamente el intento y, por lo tanto, qué mecanismos de seguridad realmente funcionan.

(Hace poco, uno de los escritores originales me presentó el DBIR, fue solo en una minoría de casos en los que, por ejemplo, un IDS fue responsable del descubrimiento de la violación).

    
pregunta Christoffer 16.05.2013 - 16:35
fuente

2 respuestas

2

Si bien la pregunta es un poco general, la respuesta es sí. Esa es la buena noticia, la mala noticia es que tendrás que trabajar.

¿Qué quiero decir?

Existe una excelente herramienta de modelado de amenazas llamada PTA: análisis práctico de amenazas (puede descargarla de nuestro sitio web www.software.co.il). Si sigue la metodología de mapeo de activos, amenazas (brechas ...), vulnerabilidades (personas, sistemas, redes, software) y contramedidas de seguridad, podrá construir un modelo bastante bueno de su sistema. El software de la PTA le mostrará cuáles son las contramedidas más rentables según el valor del activo, la probabilidad de ocurrencia de la amenaza y el nivel de daño / amenaza.

Con respecto a las métricas: las métricas son, en cierto sentido, los datos de medición para un modelo de amenaza. Con respecto a las violaciones de datos, sin saber qué tipo de activos está tratando de proteger, es difícil para mí darle una respuesta general, pero recopilaría métricas de sus firewalls / IPS, dispositivo DLP (si tiene uno) y registros de autenticación de Linux - como el número de intentos de inicio de sesión fallidos, intentos de inicio de sesión de raíz, etc.

Si estás interesado en las métricas, te recomiendo que leas "Métricas de seguridad" de Jaquith, está disponible en Amazon.

Espero que esto te dé alguna dirección

    
respondido por el Danny Lieberman 16.05.2013 - 19:23
fuente
2

La naturaleza de la pregunta es vaga, y la palabra "modelo" no está definida en este caso. Pero me esforzaré por hablar sobre Honeypots como una posible respuesta a la pregunta.

Un Honeypot (o una serie de Honeypots) está diseñado para permitir que ocurra una violación en un entorno seguro. A partir de este recurso, se puede determinar el vector de ataque, así como una inferencia en cuanto al objetivo deseado. Cada 'hit' exitoso de Honeypot se puede definir como un intento de violación 'fallido'.

Diferentes Honeypots pueden capturar diferentes tipos de datos en diferentes tipos de ataques, y le permite a una organización determinar la efectividad de las tecnologías de protección implementadas. Los Honeypots basados en la red, basados en el servicio, basados en la red y, recientemente, basados en contraseñas, permiten a un investigador modelar el tipo de ataque y recopilar más información sobre los próximos pasos previstos del ataque. Muchos Honeypots capturan los archivos y el código cargados para un análisis más profundo, lo que parece satisfacer el deseo del OP de modelar datos, si esto es lo que quería decir con el término.

La colocación de Honeypots dentro y fuera de los límites de protección permite una comparación de los intentos de ataque para cuantificar aún más la efectividad de las medidas de protección a la luz de los ataques reales o los sondeos.

Parece que la pregunta pretende diferenciar entre una 'sonda' y una 'infracción' potencial (de lo contrario, uno podría simplemente recopilar datos de eventos de sondeos y asumir que cada uno es un intento fallido de violación, de los cuales se pueden encontrar muchos datos). ). Los honeypots permiten que este tipo de diferenciación permita que una sonda se convierta en un ataque, con lo que recopila los datos necesarios para modelar y clasificar.

    
respondido por el schroeder 16.05.2013 - 20:11
fuente

Lea otras preguntas en las etiquetas