web-dev-qa-db-fra.com

Modèle de messagerie de notification d'attaque / abus

Je construis un modèle à utiliser lors de l'envoi de notifications "abus" aux FAI, aux fournisseurs d'hébergement, etc., car lorsque les attaques proviennent de leur NetBlock.

Existe-t-il des exemples de modèles utilisés à cette fin qui ont été bien conçus ou vérifiés ou qui reflètent sinon ce qui est conseillé/à l'inadvénement d'inclure dans ces notifications?

En d'autres termes:

  • Quelles informations doivent être incluses dans une telle notification
  • Quelles informations devraient non être incluse dans une telle notification
malwarelegalcorporate-policydisclosure
7
tylerl

Il devrait contenir toutes les informations nécessaires sur l'attaque et quelle action vous aimeriez prendre. Certaines informations clés comprendraient:

  • Adresse IP de l'hôte effectuant l'attaque
  • Le type d'attaque ou d'activité provenant de cet hôte
  • Les détails de votre (s) serveur (s)
    • Cela pourrait inclure l'adresse IP/ES du serveur/s attaqué
  • Demandez-leur d'enquêter sur l'incident et de vous rapporter
  • Si l'attaque était dommageable, demandez-leur comment cela vous a affecté

Ils peuvent prendre du temps pour vous répondre, alors soyez patient.

5
Hammo

Je suis d'accord avec les détails généraux que Hammo a déjà décrit, bien que je recommandais que vous examiniez les exigences complètes du format de rapport d'abus proposé (ARF) pour l'inclusion dans vos messages automatisés. Les FAI reçoivent un grand volume de messages et en suivant la présente norme (ou la norme proposée tel qu'il est) permettront davantage de traiter efficacement vos messages.

http://datatracker.ietf.org/wg/marf/charter/

http://fr.wikipedia.org/wiki/abuse_reporting_format

4
iivel

Personnellement, je pense qu'il est impossible de concevoir un modèle qui répond à la nécessité de tous les scénarios de rapport d'abus. Je conseillerais donc de développer un outil de veiller à ce que l'utilisateur (interne/externe) les informations requises sur le type d'abus et le type de détails à envoyer ou à recevoir.

Après avoir dit que voici un coup de pied sur quelque chose qui peut être intégré à un modèle:

template.abuse:

Date/Time of abuse       : {<date/time format>}
TimeZone                 : [<pick-list>]
Contact Name             : {<free-form>}
Contact Email(s)         : {<free-form>}
Wish to remain anonymous : [Y|N]
Contact Business         : {<free-form,expected:name of business if relavent>}
Contact Business Address : {<free-form,expected:address of business if relavent>}
Type of abuse            : [<pick-list, e.g.:
Open relay/Proxy/NNTP
Phishing report
Virus or Worm
Offensive material
Copyright
Network attack
Spam
Port scan
>
                           //
#import(Type of abuse)     // <-- imports fields relevant for the type of abuse
                           // e.g. "Virus or Worm" -> template.virus_or_worm
                           // see below...

]    
Additional Notes         : { free-form,e.g.:
Ports Scanned
Bulk content details
Etc.
}

template.virus_or_worm:

Source of Abuse          : {<free-form,expected: IPs, email addresses, usernames, etc>}
Evidence                 : {<free-form,expected: logs, emails, etc>}

La chose importante à emporter est que ce n'est pas une bonne idée d'avoir un modèle générique pour "tout" car les utilisateurs finissent par choisir des choses qu'ils "croient" les étiquettes sur la forme significative plutôt que leur signification voulue.

Et outil interactif (application Web/forme ou autre) qui facilite l'utilisateur tout en leur permettant de sélectionner "Autre type d'abus" où l'abus n'est pas spécifiquement indiqué permettrait de collecter/envoyer des informations plus pertinentes, réduisant ainsi des problèmes indésirables. .

Voir aussi Petits débuts: https://security.stackexchange.com/questions/22750/exhaustive-list-of-Abuse-notiformations-chat-organizations-get

2
chkdsk