> >-----Messaggio originale----- > >Da: [email protected] > >[mailto:[email protected]] Per conto di Stefano Zanero > >Inviato: lunedì 19 ottobre 2009 19.12 > >A: [email protected] > >Oggetto: [ml] IDS e IPS e inutilita' degli stessi > > > >Rissone Ruggero wrote: > >> Nelle grandi realtà è più probabile trovare un presidio H24 che si > >> preoccupi degli allarmi generati dalle sonde di sicurezza > > > >E quale e' la probabilita' che in tali realta' tale presidio > >sia effettivamente in grado di farvi fronte ? :)
Caro Stefano, un po' polemicamente potrei rispondere : piu' o meno con la stessa probabilita' con cui aziende esterne vendono il loro servizio di monitoraggio IDS. Facendo riferimento alle appliances per la correlazione citate da Marco Ermini, dipende da come progetti e customizzi l'engine di correlazione, ovvero quali informazioni riesci a tirare fuori. > >> Diventa però molto delicato un IDS messo direttamente > >davanti al web > >> server > > > >Cough, mi viene in mente almeno una realta' che dovresti > >conoscere dove sono messi davanti ai firewall di frontiera ... :-) > > Anche piu' di una, ma dipende cosa monitorano quelle sonde...Quando dico molto delicato intendo dire che per la sua collocazione ed esposizione a minacce esterne, un IPS non e' certamente un dispositivo "leave and forget" e soprattutto che la fase di tuning non e' cosi' banale. Mi sembra di ricordare proprio un tuo articolo su tecniche di evasione di IDS/IPS, se quanto a protezione del FE fallisce nel controllo di SQL Injection et similia, ci deve essere qualcosa dietro che ti "para le chiappe". Se quello che consideri piu' importante proteggere e' il dato (dati delle carte di credito, dato di traffico, ecc), le misure di sicurezza piu' pesanti (in termini economici, di configurazione e di efficacia) sono volte a proteggere il dato... Come e' stato detto, il defacement in se' e' un danno di immagine ma sono state indicate misure di sicurezza alternative ( e meno costose imho) che, sempre secondo il mio insignificante parere, possono anche risultare piu' efficaci contro questo tipo di attacchi. Tornando al titolo del tuo post, l'inutilita' di IDS ed IPS e' legata a come sono progettati e configurati. Estremizzando, se metto un IDS con deny all, ho una piattaforma sicura al 100% (ma non do' un servizio); se metto un IDS con allow all, ho aggiunto solo un pezzo di ferro nel rack e basta, facendo contento il venditore e sprecando un po' del sempre risicato budget destinato alla sicurezza. Saluti RR Questo messaggio e i suoi allegati sono indirizzati esclusivamente alle persone indicate. La diffusione, copia o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate. Qualora abbiate ricevuto questo documento per errore siete cortesemente pregati di darne immediata comunicazione al mittente e di provvedere alla sua distruzione, Grazie. This e-mail and any attachments is confidential and may contain privileged information intended for the addressee(s) only. Dissemination, copying, printing or use by anybody else is unauthorised. If you are not the intended recipient, please delete this message and any attachments and advise the sender by return e-mail, Thanks. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
