Détection d'un comportement suspect dans une application Web: que rechercher?

Question

Je voudrais demander aux proactifs (ou paranoïaques) parmi nous: Qu'est-ce que vous cherchez, et comment?

Je pense principalement à des choses qui peuvent être surveillées par programmation, plutôt que d'inspecter manuellement les journaux.

Par exemple:

• Manuel/tentatives de hack automatisé.
• Écoulement de données.
• Inscriptions de Bot (qui ont échappé captcha etc.).
• Autre comportement indésirable.

Vous vous demandez ce que la plupart des gens considèrent comme pratique et efficace?

Les choses préventives (comme l'assainissement d'entrée d'utilisateur) sont bien sûr cruciales, mais dans le cas de cette question, je suis plus intéressé par la détection d'une menace potentielle. Dans ce cas, je suis intéressé par l'alarme antivol, plutôt que par les serrures.

Un exemple du genre de chose dont je parle existe ici sur SO. Si vous faites trop de modifications à une question dans un court laps de temps, cela amène un captcha pour vous assurer que vous n'êtes pas un bot.

Answer 1

Trois pointeurs pour vous:

1. entrée utilisateur Désinfecter
2. d'entrée utilisateur Désinfecter
3. d'entrée utilisateur Désinfecter

Remeber, et se rappeler ce bon.

Answer 2

Une application qui recherche les requêtes http malveillantes avant de les rendre à l'application Web est appelée Web Application Firewall. La plupart des WAF peuvent être configurés pour envoyer des emails lorsque des attaques sont détectées, ainsi vous avez une "alarme anti-intrusion". Les WAFs sont plus utiles pour empêcher les attaques avant qu'elles n'atteignent votre application Web, ce qui ressemble plus à un mur de briques qui s'énerve lorsque vous le touchez.

Answer 3

Vous pouvez consulter les anomalies statistiques. Par exemple, conservez une moyenne du pourcentage d'échecs de connexion pour chaque heure au cours de la dernière journée. Si ce pourcentage devient soudainement, disons, trois fois plus grand, il se peut que vous envisagiez une tentative de bris de mot de passe.

Il n'y a aucun moyen de dire à l'avance quels sont les bons paramètres pour un tel algorithme. Je dirais que vous commencez par les rendre trop sensibles, puis les régler jusqu'à ce que le nombre de faux positifs devient acceptable.

Answer 4

La meilleure façon de savoir si vous allez rencontrer des problèmes avec votre application est d'être proactif pour identifier vous-même les problèmes. Commencez par un modèle de menace. Les modèles de menace sont essentiels pour trouver les problèmes potentiels avant que les attaquants ne le fassent.

Voici les étapes que je voudrais faire pour obtenir une compréhension du paysage des menaces d'application: - Tout d'abord identifier tous les processus dans votre application (par exemple l'authentification, le traitement des transactions, etc.) - En second lieu, flux de données le plus élevé et les processus les plus critiques.Pour moi, les diagrammes de flux de données sont la plus grande aide pour voir visuellement d'où proviendraient les attaques potentielles. - Troisièmement, analysez vos processus. Pour cela, je recommande un outil comme l'outil de modélisation des menaces de Microsoft. C'est bon de vous forcer à regarder tous les vecteurs d'attaque possibles. - Quatrièmement, mettre en place un plan pour réparer ce que vous trouvez.

Ce processus est incroyablement utile car ceux qui développent les applications savent mieux que les attaquants comment trouver les failles.