¿Alternativas al bloqueo de direcciones IP sospechosas?

1

Creo que todas las empresas utilizan el mismo proceso de bloqueo de direcciones IP que generan tráfico sospechoso como una forma de mitigar los ataques. Sin embargo, ese es un proceso interminable de perseguir a los atacantes en lugar de estar un paso por delante de los atacantes.

¿Hay algún método que vaya más allá de solo bloquear la IP de tráfico sospechoso? Sobre todo porque cualquier atacante que valga la pena siempre estará falsificando su IP.

Por ejemplo, hay una manera de: marcar el tráfico sospechoso, analizar el tráfico, crear una huella digital del tráfico, desarrollar una firma basada en la huella digital y finalmente automatizar el proceso de supresión preventiva del tráfico que coincida con la firma contaminada.

¿Eso tiene sentido? Por favor haga preguntas aclaratorias si no tiene sentido.

PS: esta es mi primera publicación de SE, así que espero que todo esté en orden.

    
pregunta Sarwar 22.09.2016 - 16:27
fuente

1 respuesta

1

Hay otras alternativas, los honeypots colectivos que generan listas de atacantes comunes son una alternativa. Mantengo una lista construida a partir del resultado de algunos honeypots (tanto públicos como privados), y algunos servidores de producción que tengo.

¿Hay una forma de analizar todo en Internet como un sistema de identificación global? Sí, la hay, pero si alguna vez usó un sistema IDS / IPS antes, podría imaginar la cantidad de falsos positivos que se generarían y la cantidad de potencia de procesamiento necesaria para ejecutarlo a escala global.

Puede enfocarse en proteger a su empresa, un buen firewall, un firewall de aplicaciones web, una solución IDS / IPS, buenos procedimientos internos, políticas de seguridad, pentests regulares, soluciones antivirus, capacitando a los usuarios para que no abran todo lo que Ellos reciben por correo electrónico, y la lista continúa, hay varias cosas que puede hacer para ayudar.

Siempre puedes hacer un trabajo proactivo, pero imagina el escenario donde el atacante, nunca antes atacó a ningún otro host, por lo que no estará en ninguna lista, y su primer ataque es contra tu compañía. Es el concepto de pre-crimen , ¿cómo sabías que intentará hacer algo y bloquearlo antes?

Nunca espere que una solución lo haga 100% seguro , si aplica mi lista a su firewall, seguirá siendo vulnerable al escenario anterior y a muchos otros. Pero, por lo general, los hosts comprometidos y que se convierten en parte de una red de bots lanzarán varios tipos de ataques y escaneos. Ten esto en cuenta cuando trates de bloquear algo.

    
respondido por el OPSXCQ 22.09.2016 - 16:58
fuente

Lea otras preguntas en las etiquetas