Problema de confianza en la lista negra global compartida

1

Algunos proveedores como Palo Alto Networks fabrican dispositivos que sincronizarán listas negras en toda su base de clientes cuando uno de sus clientes sea atacado. Así que después de que el primer jugador es atacado, todos los demás en la misma alianza de "buen tipo" están protegidos.

Mi pregunta es: ¿cómo sabría Palo Alto en quién confiar? ¿Qué sucede si uno de sus clientes, o alguien que pudiera encontrar una manera de hablar con su servicio web, trata de poner en una lista negra a Google? ¿Cómo establece el tipo de confianza en los clientes necesarios para una lista negra global compartida?

    
pregunta John 10.12.2015 - 20:57
fuente

1 respuesta

1

Por lo general, es una combinación de listas blancas y negras para evitar ese problema específico. Ocasionalmente se cometen errores, pero generalmente se resuelven muy rápidamente.

No puedo hablar por un proveedor en particular, pero hay muchas fuentes de inteligencia de amenazas gratuitas que muchas organizaciones contribuyen a minimizar el bloqueo accidental de direcciones válidas. La forma en que un proveedor específico maneja la calificación de confianza y lo que se publica es Es probable que sea diferente de un proveedor a otro, pero en general, todos han estado trabajando en esos problemas durante algunos años y han mejorado.

Otro aspecto es la calificación de confianza de cualquier IP dada es la red de la que proviene. Los grandes rangos de IP pueden atribuirse a propietarios específicos a través de sus números AS de BGP. Esto ayuda al personal de respuesta a incidentes a ponerse en contacto con el propietario de una IP y también ayuda a las personas a saber si se trata de una IP administrada por un pequeño ISP arriesgado conocido por albergar gran cantidad de malware en comparación con una organización con buena reputación como un hospital que puede tener un host infectado.

Del mismo modo, hay muchas listas de hosts conocidos (sitios web de Alexa más importantes) y hosts maliciosos (servidores de tipo de red empresarial rusa).

Es posible que también quieras ver estas listas

enlace

Es mucho trabajo crear estos feeds, pero son herramientas muy valiosas para bloquear / ralentizar a los atacantes.

    
respondido por el Trey Blalock 12.12.2015 - 00:35
fuente

Lea otras preguntas en las etiquetas