Tengo un cliente preocupado por los ataques de DDOS en su sitio, y quieren pruebas de penetración. ¿Eso ayudará?

6

Mi cliente desea contratar a un tercero para realizar pruebas de penetración en el sitio web que estamos desarrollando para ellos. El sitio web es solo un sitio de concurso de 3 meses en el que las personas pueden subir sus fotos, y los moderadores las juzgan como ganadores. El sitio se alojará en un Rackspace Cloud Server (servidor virtual). Su principal preocupación, por la razón que sea, son los ataques DDOS. Nos pidieron que encontráramos a alguien que hiciera pruebas de penetración para el sitio (manual, es decir, no del tipo automatizado).

Mi corazonada es que las pruebas de penetración no son muy útiles contra los ataques DDOS. ¿Es una prueba de penetración excesiva en esta situación?

    
pregunta Ben Davis 03.04.2013 - 21:11
fuente

5 respuestas

7

La seguridad es casi siempre una compensación. A medida que el valor asignado a seguridad aumenta, algún otro valor disminuye.

El primer valor que normalmente observa es beneficia . Cuanto más gastas en seguridad, más seguridad obtienes pero menos beneficios obtendrás.

Antes de gastar dinero significativo en seguridad (y recuerde, tiempo es dinero ), debe probar un análisis de riesgo.

Determine cuánto X tiempo de inactividad le costaría a sus clientes. Determine cuánto costaría un compromiso completo del servidor o un compromiso parcial (como un volcado de base de datos de solo lectura). Estos costos pueden incluir la pérdida de reputación que se extiende más allá de esta promoción de tres meses.

El siguiente paso es algo más difícil para obtener números precisos. Trate de adivinar qué tan probable es cualquiera de los escenarios anteriores. Hable con sus clientes sobre esto porque pueden haber recibido amenazas o intentos de extorsión que deberían tenerse en cuenta en sus conjeturas. Probablemente debería incluir el tiempo de inactividad debido a DDoS no malintencionados (también conocido como ir viral ) porque la estrategia de mitigación es similar y el hecho de que usted esté fuera de la misma forma en que debe ganar más dinero es particularmente doloroso .

Una vez que conozca sus pérdidas esperadas , puede gastar dinero y tiempo tratando de mitigarlas.

DDoS y las pruebas de penetración son cosas completamente diferentes. Para la protección contra DDoS, lo más sensato es utilizar un servicio diseñado para detenerlo. Compañías como Verisign y Prolexic tienen servicios que no hacen nada por usted, aparte del filtro DDoS. Compañías como CloudFlare tienen un servicio que hace almacenamiento en caché y distribución de CDN que hace que su sitio sea más rápido y le brinde más capacidad, y también incluye la protección DDoS.

Hay dos cosas que hacer para prepararse para los intentos de compromiso:

  1. Asegure su sitio tanto como sea posible.
  2. Prepárese para lo que debería suceder si / cuando usted se comprometa.

Absolutamente debes intentar hacer algunas pruebas de penetración por ti mismo. Tome uno de los escáneres web automatizados gratuitos y ejecútelo en su sitio antes de que se publique. Encontrará las vulnerabilidades fáciles y le permitirá solucionarlas usted mismo antes de contratar los servicios de los evaluadores de penetración de terceros (si determina que valen la pena el costo). Deben encontrar más de lo que hicieron los escáneres automáticos.

Para prepararse para un compromiso, debe tener:

  1. Suficiente monitoreo para determinar que ha sido comprometido. AIDE / Tripewire / OSSEC son buenas herramientas para esto.
  2. Copias de seguridad regulares y un plan probado sobre cómo reinstalarlas. Es importante probar sus copias de seguridad. No puedo decirle cuántas veces he visto fallar el primer intento de prueba de restauración desde copia de seguridad.
  3. Suficiente registro para determinar cómo entró el intruso. Tienes que saber esto y corregir la vulnerabilidad o simplemente volverá a entrar.
  4. Máquinas potencialmente de repuesto que pueden intercambiarse cuando la principal se ve comprometida. A veces no quiere borrar las máquinas comprometidas porque tienen la evidencia de cómo se vio comprometido, pero no puede dejarlas en línea y debe mantener el sitio activo. Para eso son las máquinas de repuesto.
respondido por el Ladadadada 03.04.2013 - 23:44
fuente
13

Si a su cliente le preocupa la DDoS, entonces una pluma estándar. prueba no es la ruta a seguir Dejando a un lado la pregunta de si es una preocupación válida, un enfoque sería mirar haciendo pruebas de carga en el sitio. Hay compañías que realizarán pruebas de carga para ver cuánto tráfico puede manejar el sitio / servidor antes de dejar de estar disponible. Esto le daría una idea de cómo reaccionará ante una carga pesada. Obviamente, si realiza ese tipo de pruebas, debe informar y obtener la aprobación de Rackspace, para que no lo interpreten como un ataque. :)

Dicho esto, algunos ataques DDoS no siguen patrones similares al tráfico estándar (por ejemplo, ataques que utilizan la amplificación de DNS). Si esa es una preocupación seria, recomendaría consultar los servicios de protección DDoS (por ejemplo, CloudFlare / Akamai), ya que, de manera realista, no hay mucho que pueda hacer al respecto en el servidor o, posiblemente, a nivel de ISP en caso de ataques grandes.

    
respondido por el Rоry McCune 03.04.2013 - 22:26
fuente
10

si los ataques DDOS son la preocupación, entonces las pruebas de penetración no ayudarán a prevenirlo o detectarlo.

Los ataques DDOS, en su mayor parte, no hacen más daño que evitar que los usuarios accedan al sitio web / servicio / etc. Generalmente, se puede ver un DDOS cuando las solicitudes inundan continuamente el servidor más rápido de lo que el servidor puede responder. Para evitar ataques de DDOS, necesitaría establecer algún tipo de sistema de monitoreo que activará las alarmas si se reciben demasiadas solicitudes de una IP determinada. En pocas palabras.

Dicho esto, para un sitio de concurso de 3 meses, no veo por qué alguien querría interrumpir el sitio web, y las pruebas de penetración siempre son buenas de realizar.

    
respondido por el drunkenRabbit 03.04.2013 - 21:27
fuente
9

En esta situación específica, no solo diría que no es bueno, incluso recomendaría no hacerlo.

Los ataques DDoS requieren una gran cantidad de atacantes, y en su caso, su cliente estar pagando efectivamente a alguien para que ataque a los servidores de Rackspace. Mala idea.

Para obtener más información sobre los ataques DDoS, verifique esta respuesta que ilustra la naturaleza del ataque.

    
respondido por el Adi 03.04.2013 - 21:27
fuente
1

Una prueba de penetración no ayudará con la capacidad de recuperación de DDoS, porque, en pocas palabras, DDoS no concentra su sitio. Una prueba de la pluma se trata de encontrar maneras de superar la seguridad de su sitio, mientras que una DDoS simplemente supera la capacidad de su sitio. Para ver cómo se enfrentará a un ataque DDoS, debe realizar pruebas de carga, no pruebas de penetración. Los Rackspace en sí tienen realmente un artículo sobre pruebas de carga. Si decides realizar una prueba de carga, querrás verificar con Rackspace si puedes hacerlo; técnicamente es un DDoS en sí mismo, que obviamente está en contra de los términos de servicio y demás, así que asegúrate de leer esa letra pequeña.

    
respondido por el anaximander 04.04.2013 - 14:41
fuente

Lea otras preguntas en las etiquetas