Con la noticia de que Google y otros han sido pirateados, me preguntaba cómo las empresas descubren, detectan y/o saben que han sido pirateadas en primer lugar.
Claro, si encuentran un virus/troyano en las computadoras de los usuarios o ven una tasa de acceso muy alta a partes de su sistema que generalmente no reciben mucho tráfico, si es que lo reciben. Pero, por lo que he visto en los artículos, el ataque fue bastante "sofisticado", por lo que no me imagino que los piratas informáticos harían tan obvio su piratería en primer lugar.
Tal vez alguien pueda iluminarme sobre los esquemas/heurísticas de detección actuales. Gracias.
Respuesta1
Generalmente buscan pistas forenses sutiles; como que su página de inicio se cambió a un banner que dice "¡¡p0Wned by TeH L33t Krew!! haahah1h1!! u noobs".
Respuesta2
Un truco exitoso es aquel que pasa desapercibido;)
Un administrador de sistemas puede configurartarros de miel, computadoras ficticias para engañar a los piratas informáticos haciéndoles creer que son un sistema real con datos reales. En el Honey Pot se monitorea toda la actividad y se estudia el comportamiento del hacker para ayudar a aprender más sobre lo que un hacker o virus está tratando de hacer para ayudar a los expertos en seguridad a descubrir cómo prevenir futuras intrusiones.
También pueden utilizar automático.Sistema de deteccion de intrusospara ayudarles a detectar actividades sospechosas
Respuesta3
No sabrán si está bien hecho o si no tienen las habilidades y prácticas internas. Para descubrir que se ha realizado un hack, se deben implementar algunas medidas (no soy exhaustiva aquí), como auditar el cambio de archivos, recopilar registros de IDS y realizar un análisis profundo con múltiples correlaciones de hosts.
Además, una persona determinada seguramente, después de recopilar la mayor cantidad de información posible sobre el objetivo, intentará utilizar la ingeniería social en primer lugar porque los usuarios son generalmente el eslabón más débil de la cadena de seguridad.
Respuesta4
La forma de detectarlo depende mucho de lo que estés sirviendo. Como parte de nuestro sistema de respaldo, tengo un script que refleja los sitios web de nuestra empresa en un servidor interno, transfiriendo solo lo que ha cambiado. Al final, el script analiza los registros en busca de cambios, adiciones o eliminaciones y me envía un correo electrónico si se encuentra alguno. De esa manera, incluso si hay un cambio menos que obvio, lo averiguaré (¿debería?). Por supuesto, el script reside en el servidor interno, no en el servidor web.