Angesichts der Nachrichten über Hackerangriffe auf Google und andere Unternehmen frage ich mich, wie Unternehmen überhaupt herausfinden, erkennen und/oder wissen, dass sie gehackt wurden.
Sicher, wenn sie einen Virus/Trojaner auf den Computern der Benutzer finden oder eine sehr hohe Zugriffsrate auf Teile ihres Systems feststellen, die normalerweise nicht viel oder gar keinen Datenverkehr aufweisen. Aber nach dem, was ich in Artikeln gelesen habe, war der Angriff ziemlich „raffiniert“, also kann ich mir nicht vorstellen, dass die Hacker ihren Hackangriff überhaupt so offensichtlich gemacht hätten.
Vielleicht kann mich jemand über aktuelle Erkennungsschemata/Heuristiken aufklären. Danke.
Antwort1
Im Allgemeinen suchen sie nach subtilen forensischen Hinweisen, wie zum Beispiel, dass ihre Homepage in ein Banner geändert wird, auf dem steht: „p0Wned by TeH L33t Krew!! haahah1h1!! u noobs“
Antwort2
Ein erfolgreicher Hack ist einer, der unentdeckt bleibt ;)
Ein Systemadministrator kannHonigtöpfe, Dummy-Computer, die Hackern vorgaukeln, sie seien ein echtes System mit echten Daten. Im Honeypot werden alle Aktivitäten überwacht und das Verhalten des Hackers untersucht, um mehr über die Absichten eines Hackers oder Virus zu erfahren und Sicherheitsexperten dabei zu unterstützen, herauszufinden, wie sie künftige Angriffe verhindern können.
Sie können auch automatischeEinbrucherkennungssystemum ihnen zu helfen, verdächtige Aktivitäten zu erkennen
Antwort3
Sie werden es nicht wissen, wenn es gut gemacht ist oder wenn sie nicht über die internen Fähigkeiten und Praktiken verfügen. Um festzustellen, dass ein Hack durchgeführt wurde, müssen einige Maßnahmen (ich bin hier nicht erschöpfend) implementiert werden, z. B. die Überprüfung von Dateiänderungen, das Sammeln von IDS-Protokollen und die Durchführung einer gründlichen Analyse mit Korrelationen mehrerer Hosts.
Darüber hinaus wird eine entschlossene Person, nachdem sie möglichst viele Informationen über das Ziel gesammelt hat, sicherlich in erster Linie versuchen, Social Engineering einzusetzen, da die Benutzer im Allgemeinen das schwächste Glied in der Sicherheitskette sind.
Antwort4
Wie man es erkennt, hängt stark davon ab, was Sie bereitstellen. Als Teil unseres Backup-Systems habe ich ein Skript, das die Websites unseres Unternehmens auf einen internen Server spiegelt und nur die Änderungen überträgt. Am Ende analysiert das Skript die Protokolle auf der Suche nach Änderungen, Hinzufügungen oder Löschungen und sendet mir eine E-Mail, wenn welche gefunden werden. Auf diese Weise werde (sollte?) ich davon erfahren, auch wenn es eine weniger offensichtliche Änderung gibt. Natürlich befindet sich das Skript auf dem internen Server, nicht auf dem Webserver.