Pregunta 1: asumiendo que el intervalo de sondeo es aceptable, ¿es esta una defensa lo suficientemente fuerte? ¿Podría el código malicioso engañar al código de sondeo?
No, no es una defensa lo suficientemente fuerte. Sí, el código malintencionado puede identificar el servidor / servicio de sondeo por su IP, User Agent, etc. y entregar el archivo limpio a su agente de sondeo mientras continúa brindando archivos maliciosos a otros. Claro, puede intentar prevenir la detección cambiando las IP y los Agentes de Usuario de su agente con regularidad, pero el código malicioso puede adaptarse para detectar su cambio.
Si bien la entrega de contenido diferente en función del cliente es en sí misma algo trivial, el hecho de que el atacante sepa que existe tal salvaguarda no es trivial (es más como una seguridad a través de la oscuridad). La forma en que un atacante puede conocer tal salvaguarda es cuando conoce su arquitectura (amenaza interna) o si pasa por los ciclos de compromiso > fix- > compromise el tiempo suficiente para que pueda reducir la causa de la detección de compromiso.
Pregunta 2: - ¿Existe una forma mejor de reducir la ventana de riesgo que no sea la reducción del intervalo de sondeo, lo que genera un tráfico innecesario?
La mejor manera de reducir el riesgo es tener defensa en profundidad :
- Tenga herramientas de integridad de archivos basadas en host como tripwire para ver los archivos en cuestión.
- Derrotar esta defensa requerirá un compromiso del host
- Dependiendo de qué tan sensibles sean los archivos y su nivel de paranoia, configure sus herramientas de implementación para reconstruir sus archivos cada n horas.
- La derrota de esta defensa requerirá un compromiso de la red.
- Monitoreo remoto de sus archivos como lo describió.
- Derrotar esta defensa requerirá 1.) un compromiso de la máquina remota o 2.) suficiente conocimiento / reconocimiento de su sistema.
- Implemente herramientas de detección / prevención de intrusiones basadas en host como snort , fail2ban , denyhosts para detectar la intrusión.
- Derrotar esta defensa requerirá un ataque que no genere mucho ruido en los archivos de registro y / o evade la detección basada en firmas, por ejemplo. fallas en la capa de aplicación.
- Implementar un firewall de aplicación web, por ejemplo. ModSecurity para detectar anomalías en el nivel de la aplicación.
- Derrotar esto requerirá un ataque de nivel inferior que debería idealmente ser detectado en el punto mencionado anteriormente.
Incluso con todas las medidas anteriores no puede garantizar la seguridad, sin embargo, reducen la superficie de ataque y dificultan un compromiso exitoso y no detectado.