boa tarde, sr.
na camada de aplicação, tudo pode acontecer.
percebi que esse assunto é importante para nós dois.
a depender da aplicação que estejamos discutindo, é mais viável já identificar e autenticar os usuários diretamente da fonte, com VPN, na camada de rede.
com o sr, aprendi que há muitas coisas a serem revistas. por isso, refleti.
manter os logs deveria ser obrigatório, para fins de estratégia em cibersegurança (padrões de ataque) e auditoria (novas políticas internas, etc), durante o caos e após.
porém, quais soluções o sr proporia para aplicações web 100% públicas?
em minhas vps linux, prefiro implementar rate limiting diretamente no nginx, sem contar o balanceamento de carga, e pensando na resiliência e capacidade de sobrevivência dos componentes em minhas arquiteturas. implementar alguma solução que reconhece padrão de ataques e os insira em uma blacklist no ufw ou com fail2ban valem a pena. por exemplo, após atingir 3 vezes o rate limiting no mesmo minuto já seria 100% de justificativa para banir, mesmo. há como configurar outros padrões. se a aplicação é acessada em ddos pelo estrangeiro, reduza-se a rede de ips à nacional. se a aplicação é acessada nacionalmente em ddos, já é uma desvantagem para o atacante. não vejo outra saída senão já ter implementado uma pré-autenticação de dispositivos quando, em tempos de paz, todos acessavam normalmente. por exemplo, enviar tokens específicos que identificam o dispositivo.
monitoramento também é fundamental, para acompanhar e agir. da máxima da administracão, só se administra e se controla aquilo que se mede com indicadores e métricas bem definidas.
porém, além de tudo o que falei, sabendo que não falei nenhuma bala de prata, o que mais poderia ser feito? sem utilizar plataformas como serviços de terceiros.
pensei em reduzir mais ainda a superfície de ataque fazendo um hardening do linux, endurecer mais as políticas, manter dependências atualizadas, confinar a aplicação em conteineres. criar alguns honeypots estratégicos é interessante. o sr poderia contribuir-nos com alguns?
já ouvi falar de snort, suricata e modsecurity, só nunca implementei (ids/waf).
tentei falar de maneira menos acadêmica, porém o conteúdo em si da teoria já é diferente da prática. mesmo assim, espero que o sr entenda destas palavras que escrevo.
é bom saber disso tudo.
aguardo um retorno.