¿Por qué molestarse con la detección de ataques?

-1

La pregunta a continuación se basa en una suposición errónea de que el atacante puede falsificar la IP al realizar la conexión HTTP. Pero el atacante es n ' no puede falsificar la IP si no tiene acceso directo a la conexión entre el servidor y este cliente

Muchos ingenieros de seguridad aconsejan configurar la capa de detección de ataques. Los principales componentes sugeridos son registrar todos los eventos de seguridad y configurar IDS y SIEM.

Estas son las principales actividades que se hacen posibles después de configurar la detección de ataques utilizando el registro, IDS y SIEM. Mis comentarios sobre por qué parecen no ser eficientes también están abajo.

  1. Bloquear atacante
    Podemos bloquear solicitudes que parezcan maliciosas. Pero la detección de solicitudes probablemente será propensa a errores y muchas solicitudes maliciosas seguirán pasando por la capa de detección.
    Podemos bloquear la IP del atacante. Pero en mi opinión será perjudicial. El atacante puede falsificar la IP y enviar solicitudes de las IP de los usuarios legítimos. El bloqueo de esas direcciones IP hará IP DoS (como DoS de cuenta , pero IP). < br> Editar: @schroeder dijo que el bloqueo de la IP del atacante, incluso si es falso, es una acción necesaria. Sin embargo, el atacante puede inundar el servidor con varias solicitudes maliciosas. No puedo bloquearlos todos porque son muy diferentes y cualquier IDS tendrá falsos negativos. No puedo bloquear las direcciones IP de esas solicitudes, ya que después se bloquearán los usuarios legítimos. También el atacante puede bloquear a un determinado usuario si conoce su IP enviando solicitudes maliciosas desde una IP falsificada. Por eso creo que las direcciones IP no deberían bloquearse si las solicitudes parecen maliciosas. Creo que las direcciones IP deben bloquearse solo en caso de DDoS, ya que necesito bloquear a alguien para que tenga aplicaciones disponibles para usuarios legítimos.

  2. Emprender acciones legales después de un compromiso
    En el caso de un hack, la reputación de la aplicación se verá socavada. La acción legal no recuperará la reputación y la pérdida de ingresos. Puede ser difícil ir a la corte si el atacante es de otro país. No dará ningún beneficio excepto que se muestre "No nos rompa más".

  3. Enviar informe al ISP del atacante
    Tiene los mismos problemas que el elemento 1, ya que el atacante puede enviar solicitudes de toneladas de IP falsas. Enviar el informe es imposible, ya que no sabemos si esas solicitudes provinieron de IP real o falsa. Será imposible encontrar la IP real del atacante entre esas

  4. Revise los registros para averiguar los vectores de ataque y cerrar agujeros si existen
    Pero dudo que revisar los registros pueda ayudar a descubrir los agujeros de seguridad. El parche virtual se implementa utilizando WAF, no IDS

  5. Generando muchas estadísticas y líneas de base. Pero IMO no ayudará a proteger la aplicación.

Por lo tanto, la detección de ataques de la OMI no parece ser efectiva. ¿Qué me perdí?

    
pregunta Andrei Botalov 02.05.2012 - 21:32
fuente

3 respuestas

7

Se sorprendería de lo común que es detectar un ataque, enviar un informe de ataque a la compañía de la dirección IP de la que proviene el ataque y obtener una respuesta de nuevo informando que la máquina comprometida se ha puesto en cuarentena gracias a su informe. Parte de ser un buen ciudadano de la red es ayudar a otros administradores a detectar y responder a sistemas comprometidos para que no sigan haciendo daño.

    
respondido por el David Schwartz 02.05.2012 - 23:59
fuente
3

Bloqueo de IP

El bloqueo de una IP basada en un patrón puede no ser tan malo como crees. Puede bloquear el patrón sin bloquear la IP, por ejemplo (bloqueos de exploraciones del árbol de Navidad, paquetes no válidos, estados no válidos), que un host benigno nunca enviaría. Estos patrones no afectarían el tráfico normal a un sitio desde la misma IP.

Si un atacante está atacando su aplicación, y usted puede detectarla, entonces debe cerrarla, y no importa si han falsificado una IP o no. Pero, considere qué tipos de ataques le preocupan. Puede optar por permitir sondas, pero los ataques interactivos deben tratarse, y son difíciles de falsificar.

También tiene que sopesar el impacto de bloquear algunas IPs en contra de poder servir a muchas otras IPs. Es necesario bloquear un DoS de una docena de IP, incluso si está falsificado, o nadie podrá acceder a la aplicación.

Detección propensa a errores

Hay un proceso de ajuste de su IDS para reducir falsos negativos y falsos positivos, pero eso es normal.

Más que bloqueando

Una de las otras razones para identificar patrones es determinar las formas en que se debe mejorar la aplicación y la infraestructura del servidor para evitar el compromiso. Quizás es necesario instalar un nuevo filtro de entrada o fortalecer un flujo lógico. Al revisar los registros de IDS, puede identificar y mitigar ese tipo de cosas.

No toda la historia

Los registros son el comienzo de la historia, no el final. Necesita revisar, analizar y actuar como resultado de la información. Y es entonces cuando obtiene los beneficios a largo plazo de registrar y detectar ataques.

    
respondido por el schroeder 02.05.2012 - 21:55
fuente
1

Como dice David Schwartz, todo lo que realmente sabes sobre el ataque (inicialmente) es la dirección IP de la que provino, y esa suele ser otra víctima del mismo sombrero negro.

Durante los últimos dos años he visto un aumento en la cantidad de sondeo para proxies HTTP abiertos, hasta el punto en que ahora es mayor que las sondas ssh. Históricamente, el problema fue con los retransmisiones de correo, pero afortunadamente, la mayoría de las personas han aprendido a configurar sus MTA correctamente y existen protocolos y técnicas en el uso generalizado para evitar el abuso.

Entonces, sí, es una buena práctica decir a las personas que probablemente han sido hackeadas y que están siendo utilizadas para ataques proxy.

(el grado de responsabilidad de las personas por los daños causados por un tercero utilizando sus computadoras es un argumento interesante, pero posiblemente un poco fuera de tema en respuesta a esta publicación).

Pero no tienes que esperar a que todos los demás se pongan al día para beneficiarse de los ataques de monitoreo. Al cerrar la puerta inmediatamente en tales ataques, el atacante simplemente se da cuenta de que los ha detectado, si están determinados a regresar por una ruta diferente. También existe el riesgo de falsos positivos: perder clientes legítimos. Para algunas organizaciones esto puede ser muy importante, mucho más importante que solo la pérdida de su negocio.

OTOH, uno no debe permitir que un atacante haga lo que quiera con impunidad. Después de haber identificado un ataque potencial, entonces tiene la capacidad de identificar cómo comprometieron sus defensas y, lo que es más importante, qué datos están cambiando. Por lo tanto, excepto en el caso en que el objetivo del atacante es extraer datos de sus sistemas, debería poder deshacer los cambios, suspender los pagos / pedidos que salen de la puerta, revertir las desfiguraciones, etc.

Sí, es realmente difícil buscar soluciones legales en todas las jurisdicciones, pero aún hay beneficios en la gestión de sus defensas.

    
respondido por el symcbean 03.05.2012 - 16:21
fuente

Lea otras preguntas en las etiquetas