¿Usando “canarios” para detectar la intrusión?

10

No he leído mucho acerca de esta técnica, pero me pregunto si hay algún tipo de práctica recomendada en relación con el uso de "canarios" para detectar ciertos tipos de intrusión:

  • Cree una cuenta falsa que nunca deba iniciar sesión. Si alguien intenta acceder a esa cuenta, informe un intento de intrusión.
  • "Sembrar" la base de datos con direcciones de correo electrónico u otra información que se puede monitorear. Si empiezas a recibir correos electrónicos (o correo postal, llamadas telefónicas, etc.) en la información monitoreada, tocas el timbre, estás jodido: alguien robó tu base de datos. (Así fue como descubrí la filtración de datos de Ameritrade de hace unos años, antes de que divulgaran públicamente la filtración).

Claramente, cosas como la monitorización 404 para escaneos serán muy ruidosas. (Uno de mis muy poco tráfico ve toneladas de solicitudes de phpMyAdmin y wp-content ...) Y es obvio que la segunda viñeta de arriba es demasiado tarde para valer mucho. La primera bala puede ser demasiado ruidosa.

Un IDS adecuado hará un trabajo más completo. ¿Algo de esto es útil? ¿Hay cosas que me faltan?

    
pregunta bstpierre 22.12.2011 - 23:40
fuente

2 respuestas

7

Esto es lo mismo que una idea de Honeypot de alta interacción , pero parece que estás preguntando sobre la incorporación de elementos honeypot en sistemas de producción. Aun así, creo que las mejores prácticas para los honeypots se aplicarían aquí.

En cuanto a su segundo punto, un sistema de protección de pérdida de datos parece ser una mejor manera de hacerlo. Puede monitorear, rastrear y, lo que es más importante, evitar que los datos viajen a áreas que no deberían.

Uso 'cuentas falsas' en todos mis sistemas, implementadas de varias maneras como una trampa de miel. Personalmente, no creo que tengan mucho valor para mí, pero son baratos de tener, probar y monitorear.

    
respondido por el schroeder 22.12.2011 - 23:54
fuente
3

Hay muchas discusiones sobre esto, por ejemplo, honeywords:

enlace

Aunque creo que este enfoque conlleva un gran esfuerzo administrativo adicional. Gestión de usuarios, etc.

Es posible que desee revisar las técnicas de defensa activa, como

respondido por el t0x1c 03.10.2013 - 15:18
fuente

Lea otras preguntas en las etiquetas