脆弱性スキャンの試みを処理するためのベストプラクティスはありますか?
IISログ、特にphpMyAdminのURLの多くのバリエーションで、存在しないページにアクセスする試みが多数見つかりました。
これらのIPをブロックするのは私にとってはちょっとした反応ですが、同じIPアドレスからの複数の攻撃の可能性はかなり低いため、これは実際には「解決策」ではないと感じています。
では、ここにベストプラクティスはありますか?私たちはそれらを無視するべきですか?これらの試みを防ぐために、サードパーティのツール(このサイトでSnortとOSSECについて言及したことがあります)を使用する必要がありますか?
私はそれらを無視します。常に侵害されたシステムが存在し、継続的にインターネット全体をスキャンして任意の脆弱性を探します。それらをブロックしようとすることは、風に吐き出すことよりも効果的ではありません。サーバーとアプリケーションのセキュリティに焦点を当てることで、はるかに多くの価値を得ることができ、特にあなたを標的にしていると思われる攻撃者に注意を払うことができます。ボットと自動スキャナーを追跡することは、あなたの時間を無駄にするだけです。
TLDR:最初にシステムをスキャンし、それらを構築してセキュリティで保護するように構成します。次に、システムのスキャンを続けて、脆弱性と違反の兆候がないか確認し、安全なライフサイクルを構築します。
スキャンは、どこかで、誰かがあなたのシステムについて表向きに侵入しようとしていることを示しています。あなた(そしてあなたの組織)がサーバーやサーバーがホストしているものを評価していると仮定すると、悪者より先にシステムの問題を見つける必要があります。スキャンは比較的安価で簡単で、悪者のようにぶら下がる果物を見つけることができます。問題を見つけて修正することができれば、問題を解決できます。攻撃者が機密情報を入手する前に侵害を検出し、隔離して回復できる場合でも、問題はありません。
実は、スキャナーはすべて異なり、万能薬はスキャナーではありません。これは、(a)攻撃者のスキャナーがあなたの問題ではない問題を見つける可能性があること、および(b)専用の攻撃者がより高度な手法を使用してシステムに侵入する可能性があることを意味します。つまり、資産の価値と、資産の保護に費やす必要のある金額とのバランスを取る必要があります。システムとソフトウェアがニーズに対して十分に安全であり、十分に安全に維持されるように維持されるライフサイクルを開発する必要があります。
- あなたのシステムは、ホスティングされたプロバイダーによって完全にサードパーティによって提供されており、プロバイダーがそれを安全に保つことを信頼していると決めるかもしれません。責任を自分から転嫁する保険と契約があることを確認してください。
- 独自の環境またはホストされた環境内の独自のシステムでサードパーティのソフトウェアを排他的に使用し、脆弱性の発表および修正を製造元に信頼することを決定できます。コンポーネントの一覧と、新しい脆弱性を監視する方法、および独自の稼働時間を維持しながらパッチを定期的にプッシュしてテストするプロセスが必要になる場合があります。侵入防止および侵入検出システム、マルウェアスキャン、監査プロセスなどを導入する必要がある場合もあります。
- 独自のソフトウェアを作成する場合があります。その場合、ウェブアプリスキャン、マルウェアスキャン、静的コード分析、ファジング、QAセキュリティテスト、侵入テスト、脅威モデリングなどの安全な開発ライフサイクルが必要になる場合があります。
- たとえ攻撃者がシステムを乗っ取って追い出し、刑務所に入れられるようなコンテンツの提供を開始したとしても、システムに何が起きても気にしないと決めるかもしれません。この場合、何もする必要はありません。
負荷がかかっているときに、これらの試みがDoS攻撃にならないことを確認してください。 phpMyAdminページにアクセスしようとすると、明らかに脆弱性スキャンである場合(特に実際に使用しない場合)はすぐに失敗します。怪しげなGETパラメータのブラックリストのようなものはトリックを行います。