Когда появились новости о взломе Google и других, мне было интересно, как компании вообще узнают, обнаруживают и / или узнают, что они были взломаны?
Конечно, если они обнаруживают вирус / троян на компьютерах пользователя или видят очень высокую скорость доступа к частям своей системы, которые обычно не видят большого трафика или вообще не видят его. Но, судя по тому, что я видел в статьях, атака была довольно «сложной», поэтому я не мог представить, что хакеры вообще сделают так очевидным свой взлом.
Может быть, кто-нибудь сможет просветить меня о текущих схемах / эвристике обнаружения. Спасибо.
Обычно они ищут тонкие улики судебно-медицинской экспертизы; например, их домашняя страница была изменена на баннер с надписью "p0Wned by TeH L33t Krew !! haahah1h1 !! u noobs"
Успешный взлом - это тот, который остается незамеченным;)
Системный администратор может настроить медовые горшки, фиктивные компьютеры, чтобы обмануть хакеров, чтобы они думали, что они настоящая система с реальными данными. В горшке с медом отслеживается вся активность и изучается поведение хакера, чтобы помочь узнать больше о том, что хакер или вирус пытается сделать, чтобы помочь экспертам по безопасности выяснить, как предотвратить вторжения в будущем.
Они также могут использовать автоматические Системы обнаружения вторжений чтобы помочь им обнаружить подозрительную активность
Они не узнают этого, если это сделано хорошо или у них нет внутренних навыков и практики. Для обнаружения взлома необходимо реализовать некоторые меры (здесь я не исчерпывающий), такие как изменение файлов аудита, сбор журналов IDS и выполнение глубокого анализа с множественными корреляциями хостов.
Более того, целеустремленный человек, собрав как можно больше информации о цели, в первую очередь попытается использовать социальную инженерию, потому что пользователи, как правило, являются самым слабым звеном в цепочке безопасности.
Я предполагаю, что большинство хакерских атак, о которых мы слышим, начинаются с того, что компания или СМИ сообщают конечным пользователям о том, что кто-то испортил их учетную запись / украл их личность и т. Д.
Затем компания реагирует на это, просматривает свои журналы, чтобы попытаться определить масштаб проблемы и то, что произошло, залатает дыру и т. Д., А затем (возможно) выпускает пресс-релиз и пытается связаться с затронутыми клиентами.
Но да, я полагаю, что часто их подсказывает пострадавший конечный пользователь.
Как это обнаружить, во многом зависит от того, что вы обслуживаете. В рамках нашей системы резервного копирования у меня есть сценарий, который копирует веб-сайты нашей компании на внутренний сервер, передавая только то, что изменилось. В конце этого скрипт анализирует журналы в поисках любых изменений, добавлений или удалений и отправляет мне электронное письмо, если они обнаруживаются. Таким образом, даже если произойдет менее очевидное изменение, я (должен?) Узнаю об этом. Конечно, сценарий находится на внутреннем сервере, а не на веб-сервере.