Non ho letto molto su una tale tecnica, ma mi chiedo se esista una sorta di best practice sull'uso dei "canarini" per rilevare alcuni tipi di intrusioni:
- Crea un account fasullo che non dovrebbe mai essere registrato - se qualcuno tenta di accedere a quell'account, segnala un tentativo di intrusione.
- "Seme" del database con indirizzi email o altre informazioni che possono essere monitorati. Se inizi a ricevere email (o posta ordinaria, chiamate telefoniche, ecc.) Alle informazioni monitorate, suona il campanello, sei fregato: qualcuno ha rubato il tuo database. (Questo è stato il modo in cui ho scoperto la perdita di dati di Ameritrade di alcuni anni fa - prima che rivelassero pubblicamente la perdita.)
Chiaramente cose come il monitoraggio di 404 per le scansioni saranno molto rumorose. (Uno dei miei bassissimi livelli di traffico vede tonnellate di richieste per phpMyAdmin e wp-content ...) ed è ovvio che il secondo punto qui sopra è troppo tardi per meritare molto. Il primo proiettile potrebbe anche essere troppo rumoroso.
Un IDS appropriato farà un lavoro più approfondito. C'è qualcosa di utile? Ci sono cose che mi mancano?