私たちの中の積極的な (または偏執狂的な) 人に尋ねたいと思います: あなたは何をどのように探していますか?
ログを手動で検査するのではなく、プログラムで監視できることを主に考えています。
例えば:
ほとんどの人が実用的で効果的だと考えるものは何だろうか。
予防的なもの (ユーザー入力のサニテーションなど) はもちろん重要ですが、この質問の場合、潜在的な脅威を検出することに関心があります。この場合、ロックではなく、盗難警報に関心があります。
私が話している種類の例は、ここ SO にあります。質問を短期間に何度も変更すると、ボットではないことを確認するためのキャプチャが表示されます。
あなたのための3つの指針:
覚えておいて、よく覚えておいてください。
統計的な異常を見ることができます。たとえば、過去 1 日の 1 時間ごとの失敗したログインのパーセンテージの移動平均を維持します。そのパーセンテージが突然、たとえば 3 倍になった場合は、パスワードを解読しようとしている可能性があります。
そのようなアルゴリズムの正しいパラメータが何であるかを前もって伝える方法はありません。最初は過度に敏感にしてから、誤検知の数が許容範囲内になるまで調整してください。
Web アプリケーションに到達する前に悪意のある http 要求を探すアプリケーションは、Web アプリケーション ファイアウォールと呼ばれます。ほとんどの WAF は、攻撃が検出されたときに電子メールを送信するように構成できるため、「盗難警報」を利用できます。WAF は、攻撃が Web アプリケーションに到達する前に防御するのに役立ちます。これは、触れると怒るレンガの壁のようなものです。
アプリケーションに問題が発生するかどうかを知る最善の方法は、問題を自分で特定することに積極的に取り組むことです。まず、脅威モデルから始めます。脅威モデルは、攻撃者が発見する前に潜在的な問題を発見するために重要です。
アプリケーションの脅威の状況を理解するために私が行う手順は次のとおりです。 - 最初に、アプリケーション内のすべてのプロセス (つまり、認証、トランザクション処理など) を特定します。私にとって、データ フロー図は、潜在的な攻撃がどこから発生するかを視覚的に確認するのに最も役立ちます。- 第三に、プロセスを分析します。これには、Microsoft の Threat Modeling ツールのようなツールをお勧めします。考えられるすべての攻撃ベクトルを調べるように強制するのに適しています。- 4 つ目は、見つけた問題を解決するための計画をまとめることです。
アプリケーションを開発する人は、攻撃者よりも欠陥を見つける方法をよく知っているため、このプロセスは非常に役立ちます。