Informes CSP: ignorando el software malicioso del cliente

11

Estoy viendo muchos informes de Política de seguridad de contenido (CSP) generados debido al malware del lado del cliente. Muchos tienen entradas " blocked-uri " como randomstring.cloudfront.net , something.akamaihd.net , etc.

Me gustaría detectar informes CSP causados por malware, por lo que puedo ignorarlos. Ignorar *.cloudfront.net no parece correcto, ¿hay alguna manera?

    
pregunta Jackson Pauls 15.05.2014 - 11:21
fuente

3 respuestas

2

Dudo mucho que estos informes de CSP se generen con malware del lado del cliente. Sospecho que este es el comportamiento de un equilibrador de carga que está llevando a positivos. Los autores de malware prefieren alojar sus aplicaciones utilizando infraestructura con menos supervisión, mientras que Akamai y Cloudflare proporcionan servicios de seguridad y tienen sus propios equipos de seguridad altamente calificados.

Sin ver estos registros, nadie puede ayudarte. Lo primero que haría sería descargar el JavaScript en el informe de CSP y realizar un análisis de malware en él.

    
respondido por el rook 01.11.2014 - 19:30
fuente
1

La pregunta es principalmente lo que quieres decir con "ignorar". Te recomiendo que recopiles todas las violaciones de CSP, pero solo actúas sobre las que obviamente no están relacionadas con tu sitio web. Su análisis y amp; Los pasos de visualización deberían ocuparse de eso.

Es probable que los hosts de cloudfront no sean malware, sino scripts que se ejecutan desde las extensiones del navegador.

    
respondido por el freddyb 01.11.2014 - 19:03
fuente
0

Akamai y Cloudfront son nombres asociados con CDN. En muchos casos, las CDN alojan sitios de recopilación de metadatos asociados con direcciones IP con fines de seguimiento, así como su uso inicial de almacenamiento en caché de archivos grandes para varios sitios web. Aunque estos nombres en particular pueden o no estar asociados con tráfico legítimo, su falta de preocupación con respecto al malware del lado del cliente es muy común en nuestro mundo y le sugiere que remedie ese sistema de creencias haciendo una investigación sobre cómo el malware ha sido una de las más grandes de seguridad. Amenazas en la última década.

El malware está asociado con la gran mayoría de los entornos comprometidos.

Ser propietario de un escritorio es el primer paso para tenerlo todo.

Comprendiendo que probablemente esté enfrentando más violaciones de CSP de lo que es humanamente posible investigar, existe una cierta cantidad de empatía asociada con su posición. Desarrollar un cuerpo de conocimientos, incluso si tiene que usar una hoja de cálculo, sobre los diversos dominios que se enumeran en su CSP es la clave del éxito a largo plazo, especialmente si es parte de un equipo pequeño o si se trata de una exposición de un solo hombre. Una vez que entienda estos dominios e investigue los registros y el contenido que pueden compartir, puede comenzar a examinar sus ToS e incluso capturar el tráfico y también a partir de estas url 'cadenas' que está viendo (asegúrese de que esta máquina esté aislada). Las capturas de sus paquetes y la inversión de tiempo le ayudarán a comenzar a identificar los nombres de DNS legítimos e ilegítimos y le permitirán concentrarse en un riesgo más evidente.

Es mejor tener en cuenta que la mayoría de los compromisos se muestran en varios sistemas y los sistemas los ignoraron debido a la gran cantidad de falsos positivos que están eliminando. Fueron alertados, pero no fueron alertados ni procesados en su proceso de selección. En resumen, no confíes en nada hasta que puedas demostrar que es confiable.

    
respondido por el Citizen 12.03.2015 - 09:27
fuente

Lea otras preguntas en las etiquetas