Door Anoniem: @ej
Het voordeel van een IPS is mijn inziens dat deze reactief is en een aanval kan voorkomen/beperken.
Probeer het maar eens in te regelen, je komt voor aardige verrassingen te staan, zeker bij geavanceerde aanvallen.
Je SIEM is leuk voor achteraf maar je bent dan al wel je gegevens/whatever kwijt. Jammer als je daarna je logging volgt en op een open Wifi uitkomt....
So? Your point being? Dan heb je in ieder geval wel aan de vraagstelling voldaan.
Anti-forensics voor remote logging:
- DoS de remote logging server
Jammer, maar bij een goed ingerichte omgeving zal de ddos je niet helpen. Want tot op het moment van de DoS is alles keurig gelogd en makkelijk terug te vinden.
Probeer daarna maar eens een goede loghost te ddossen. Kon je ook nog wel eens tegenvallen. Idealiter heb je te maken met bijvoorbeeld een OpenBSD loghost (met pf enabled). Veel succes met je DoS.
- Flood de logging service met een hoop legitieme log berichten (Effect: computer logging: kost meer tijd om te achterhalen wat de aanvaller heeft gedaan / printer logging: papier of inkt zal op raken)
Zelfde als hierboven.
- Onderschep de communicatie tussen computer en remote logging op de host (slaat een SIEM alarm als het een x aantal minuten niks ontvangt?)
Ja dus.