2009/10/19 Stefano Zanero: [...] >> Diventa però molto delicato un IDS messo direttamente davanti al web server > > Cough, mi viene in mente almeno una realta' che dovresti conoscere dove > sono messi davanti ai firewall di frontiera ... :-)
Davanti, dietro, e se avesse senso metteglieli anche di lato lo farei ;-) > Riguardo a quell'inguaribile ottimista (*g*) di Marco Ermini: > [...] >> Beh, qualcuno che fa query SQL via web immagino che lo dovresti >> scoprire... > > Dici? Si', forse si', ma con quanti falsi positivi su un'infrastruttura > grande? E' meno banale di quanto non sembri :) Sono ottimista perché è il mio carattere :-) per questo dici bene "inguaribile". Beh è il mio lavoro quotidiano :-) e in realtà basta avere il tempo (e la voglia) per scoprire i falsi positivi. Bisogna che lavori con i progetti e cerchi di capire quale è la "normal" behaviour. Forse sono troppo ottimista ;-) ma credo che se ci lavori sopra non è così difficile. Vi allego un piccolo esempio di alcuni eventi collezionati contro www.vodafone.co.uk (vecchi, ovviamente e sono solo alcuni... non hanno rilevanza). http://tinyurl.com/yg2lw8k Sono 4 eventi catturati dagli IDS. Ci sono degli "hint" facili... le "vere" SQL injection si sono beccate HTTP 404 e basta guardare al payload dell'attacco (campo "AP"). Si vede subito l'opera dello script kiddie :-) Se si lavora con i programmatori dell'applicazione e si ha una certa esperienza non è difficile al momento della correlazione escludere i falsi positivi. Avrai sempre qualche piccolo errore, ma gli attacchi organizzati di solito li becchiamo... [...] >> Le grandi realtà hanno anche strumenti di correlazione logs (Arcsight, >> RSA envision...) > > Yes, di solito in splendide scatole su uno scaffale... :) Beh, di solito le licenze di questi strumenti si pagano a numero di eventi da correlare, Se li lasciano su uno scaffale almeno pagano poco :-) Comunque mi dispiace che sprechino i loro soldi così :-) ma se li usassero sarebbero degli ottimi strumenti. La situazione peggiore ce l'hanno se li installano e non li ottimizzano, perché si ritrovano GB di log mal correlati e pagano uno stonfo di licenze per non aver alcun vantaggio... > Quei cosi purtroppo hanno bisogno di molto, molto lavoro di setup. > Talmente tanto da renderli troppo costosi (per implementazione e > mantenimento). Ovviamente non esiste nulla "off the shelf" secondo me quando si parla di SIEM. Voglio "rigirare" il ragionamento. Il punto non è che implementare un SIEM costa tanto - il fatto è che se lo vuoi fare, non hai scelta. Ci sono tre strade che puoi intraprendere: 1) non usi alcun SIEM 2) usi un servizio di SIEM in outsourcing 3) usi un SIEM "in house" Caso 1: ti becchi milioni di eventi dagli IDS e sappiamo già che la gran parte sono falsi positivi Caso 2: paghi Symantec, IBM, o chi altro un tot a milione di eventi, e loro fanno una "correlazione" "statistica" con tool automatici e te ne restituiscono solo 1500. Che tra questi ci rientri roba che ha senso, è una questione di fortuna, immagino... Caso 3: fai un investimento strategico a livello aziendale e metti in piedi il tuo SIEM. Assumi un tot di analisti, li inserisci nei processi aziendali, gli fai avere il controllo dei tuoi tool di security (IDS, Arbor, Firewall logs, ecc.), li fai lavorare assieme alla documentazione dei progetti e crescere con esperienza sul campo. Di sicuro la strada 3 è la più costosa e quella che richiede più impegno, ma almeno dà dei risultati. > Ma a parte cio', sei veramente sicuro che servano a ridurre il numero di > cose da guardare? Io non ne sono cosi' convinto... Beh, hai una console sola invece di sei o sette... se non fosse anche soltanto per il fatto "fisico" di avere multipli schermi da guardare, sì. Ovviamente se vuoi vedere cose che hanno senso e non semplicemente un solo schermo con milioni di allarmi accumulati da differenti tecnologie, la fase di setup (che in realtà non finisce mai, come gli esami di De Filippo...) è cruciale. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" Sent from Düsseldorf, North Rhine-Westphalia, Germany ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
