¿Existe alguna práctica recomendada para manejar los intentos de exploración de vulnerabilidades?

8

Hemos encontrado varios intentos de acceso a páginas no existentes en nuestros registros de IIS, específicamente muchas variaciones en las URL de phpMyAdmin.

Mi reacción inmediata sería bloquear estas IP, pero tengo la sensación de que esto no es realmente una "solución" ya que la probabilidad de múltiples ataques desde la misma dirección IP es bastante baja.

Entonces, ¿hay una mejor práctica aquí? ¿Deberíamos simplemente ignorarlos? ¿Deberíamos usar alguna herramienta de terceros (he visto que Snort y OSSEC se mencionan en este sitio) para evitar estos intentos?

    
pregunta JNK 01.12.2014 - 17:01
fuente

3 respuestas

20

Los ignoro. Siempre habrá sistemas comprometidos que exploran continuamente todo el Internet en busca de vulnerabilidades arbitrarias. Tratar de bloquearlos no es más efectivo que escupir al viento. Obtendrá mucho más valor si se enfoca en la seguridad de sus servidores y aplicaciones, y no pierda de vista a los atacantes que parecen apuntarle específicamente. Perseguir los bots y los escáneres automáticos solo hará perder tiempo.

    
respondido por el Xander 01.12.2014 - 17:06
fuente
3

TLDR: analice sus sistemas primero y genere & Configúralos para que sean seguros. Luego continúe escaneando sus sistemas en busca de vulnerabilidades y signos de violaciones, y cree un ciclo de vida seguro.

Las exploraciones demuestran que alguien, en algún lugar, está tratando de aprender acerca de sus sistemas aparentemente para entrar. Asumiendo que usted (y su organización) valoran los servidores y / o lo que alojan, debe encontrar problemas en sus sistemas antes de chicos malos. El escaneo es relativamente barato y fácil, y te permitirá encontrar frutas de bajo rendimiento como los malos. Si encuentra y soluciona problemas más rápido de lo que pueden usarlos en su contra, está en buena forma. Si puede detectar violaciones, aislar y recuperar antes de que el atacante obtenga información confidencial, todavía está en buena forma.

El problema es que todos los escáneres son diferentes y ningún escáner es una panacea. Esto significa que (a) el escáner del atacante puede encontrar problemas que el tuyo no tiene, y (b) un atacante dedicado puede usar técnicas más avanzadas para penetrar en sus sistemas. Esto significa que debe equilibrar el valor de los activos con la cantidad que necesita gastar para protegerlos. Deberá desarrollar un ciclo de vida que garantice que los sistemas y el software sean lo suficientemente seguros para sus necesidades y que se mantengan para que permanezcan lo suficientemente seguros.

  • Puede decidir que sus sistemas sean proporcionados por un proveedor alojado en su totalidad por un tercero y que usted confíe en que el proveedor lo mantenga seguro. Asegúrese de tener seguros y contratos que desvíen la responsabilidad de usted mismo.
  • puede utilizar exclusivamente software de terceros en su propio entorno, o sus propios sistemas dentro de un entorno alojado, y decidir que confía en los fabricantes para anunciar y corregir vulnerabilidades. Es posible que necesite un inventario de componentes y una forma de monitorear nuevas vulnerabilidades, y un proceso para insertar y probar parches periódicamente mientras mantiene su propio tiempo de actividad. También es posible que deba introducir sistemas de prevención de intrusiones y detección de intrusos, análisis de malware, procesos de auditoría, etc.
  • puede escribir su propio software, en cuyo caso es posible que desee un ciclo de vida de desarrollo seguro, que incluye el escaneo de aplicaciones web, el escaneo de malware, el análisis de código estático, el fuzzing, las pruebas de seguridad qa, las pruebas de penetración, el modelado de amenazas, etc. / li>
  • usted puede decidir que realmente no le importa lo que pase con el sistema, incluso si el atacante lo toma, lo echa y comienza a mostrar contenido que podría llevarlo a la cárcel. En este caso, no tendría que hacer nada.
respondido por el atk 01.12.2014 - 19:23
fuente
1

Asegúrate de que estos intentos no se conviertan en un ataque DoS cuando estés bajo carga. El intento de acceder a una página de phpMyAdmin debería fallar rápidamente cuando obviamente se trata de una exploración de vulnerabilidades (especialmente si realmente no la usa). Algún tipo de lista negra de parámetros GET con sombra haría el truco.

    
respondido por el IslandUsurper 01.12.2014 - 23:53
fuente

Lea otras preguntas en las etiquetas