¿Puede saber si un ataque es exitoso mirando los registros de IPS?

8

En mi organización, tenemos un IPS detrás de un firewall. Cada vez que se desencadena un evento de seguridad, me pregunto si el ataque es realmente exitoso. Para los eventos que están programados para incluirse en línea, podemos estar seguros de que es muy poco probable que el ataque no tenga éxito. Pero, ¿cómo determinamos si un ataque es exitoso para eventos que están configurados para alertar solamente?

En casos como estos, observaría la carga útil y PCAP para obtener la mayor cantidad de información posible. Sin embargo, la mayoría de las veces, todavía no puedo determinar si el ataque fue exitoso.

Para casos como estos, ¿cómo determinamos si un ataque tiene éxito?

    
pregunta Fred1234 14.08.2011 - 12:46
fuente

3 respuestas

4

IPS o IDS no detectarán un ataque exitoso por definición.

Para qué sirven los IPSs y los IDS es para eliminar guiones de niños, gusanos y atacantes similares.

Si desea tener una aplicación web relativamente segura, necesita usar un servidor de seguridad de aplicaciones web con un conjunto de reglas de denegación predeterminado. Sí, duele configurarlo de esta manera y tomará un poco de tiempo, por otro lado, es realmente una solución de "disparar y olvidar". La única vez que el conjunto de reglas debe cambiar es cuando la aplicación cambia (lo que usted conoce), no cuando los atacantes piensan acerca de una nueva forma de evitar IPS o IDS (que usted o su proveedor de IPS / IDS no conocen) .

Los IPSs y los IDS "enumeran la maldad" y esto simplemente no funciona más: Las seis ideas más tontas de Seguridad informática

    
respondido por el Hubert Kario 14.08.2011 - 16:57
fuente
4

Depende del producto. Algunos productos tienen la capacidad de capturar los paquetes de respuesta, así como los paquetes de ataque. Algunos productos, como IBM Proventia notable, anotarán el evento original con una notificación de éxito / falla, que puede ver si abre los detalles del evento. Por ejemplo, todos los eventos HTTP en Proventia incluirán no solo la URL del ataque, sino también el código de respuesta (200, 404, 500, etc.).

    
respondido por el Robert David Graham 14.08.2011 - 20:45
fuente
1

Hay dos formas de ejecutar un IDS:

  • para detectar intentos de ataque
  • para detectar ataques exitosos

El modo está definido por las reglas que están habilitadas. En la mayoría de los entornos, como el suyo, no hay una estrategia clara que lleve a que se activen ambos tipos de eventos.

Si desea detectar posibles ataques exitosos solamente (e ignorar intentos que no tienen éxito de todos modos), simplemente habilite las firmas para los productos y las versiones que está usando. Por ejemplo, si no está utilizando Apache, desactive todas las firmas de Apache. Puede tomar algún tiempo recopilar datos sobre su inventario de software e implementarlo en el IDS. Además, tendría que realizar cambios en el IDS cada vez que cambie el panorama del software. No subestimes el esfuerzo por eso. Pero luego puede determinar los intentos de ataque y el posible éxito que podría afectar su entorno tarde o temprano.

Además, las firmas de IDS / IPS generalmente vienen con categorías . Por ejemplo los filtros de protección por TippingPoint están utilizando las categorías Reconocimiento para la enumeración, Vulnerabilidades para la detección de problemas de seguridad comunes y Exploits para acciones provocadas por intentos reales de ataque. Eliminar las categorías habilitadas también puede ayudar a prevenir el ruido no vinculado a ataques exitosos.

    
respondido por el Marc Ruef 26.06.2016 - 00:03
fuente

Lea otras preguntas en las etiquetas