Strumenti per identificare e segnalare i tentativi di pirateria originati all'interno di organizzazioni rispettabili?

6

Oggetto: Devo segnalare i tentativi di hacking? - Errore server

Un sacco di persone guarda i propri registri per gli attacchi dall'esterno. Ma chi segnala regolarmente tali attacchi alla fonte? Immagino principalmente che ciò avvenga per tentativi che provengono dall'interno delle reti di organizzazioni rispettabili (ad esempio da una macchina compromessa all'interno di un'università o di un'azienda o ISP).

Quante organizzazioni accettano questo tipo di rapporti e tendono a gestirli in modo efficace? C'è un modo per identificare quelli che fanno?

Quali strumenti esistono per aiutare a identificare tali attacchi e creare tali rapporti?

  • Identificazione dei tipi di abuso che sono utili per segnalare
  • Ricerca di chi segnalare a
  • Comprese le informazioni che potrebbero aiutare l'organizzazione a rintracciare l'origine dell'attacco e / o chi è responsabile
  • Trattare i rapporti che vengono rimbalzati, o qualsiasi altra cosa?

Vedi anche: Rilevazione dei tentativi di attacco al sito web

    
posta nealmcb 03.02.2011 - 15:54
fonte

1 risposta

2

Le organizzazioni che hanno questo in arte sono le società globali di servizi di sicurezza come un servizio. Sono gli unici giocatori abbastanza grandi da agganciarsi a ISP, Fortune 350 ecc. Inoltre, funzionano bene con le organizzazioni per comprendere il proprio registro delle risorse, aiutando a eliminare gli attacchi che potrebbero essere reali.

Se non si utilizza uno di questi per gestire la sicurezza perimetrale, il carico di lavoro per identificare gli attacchi al perimetro deve essere passato a script o dispositivi nella parte principale - per la maggior parte delle organizzazioni ci sono troppi tentativi di attacchi .

Se è possibile implementare un dispositivo perimetrale per eliminare gli attacchi di base, è necessario occuparsi della scansione generale delle porte. I tipi di abuso che potresti rilevare in ingresso da quel dispositivo che non sono utili a segnalare includono tentativi di exploit che non corrispondono alla tua infrastruttura (ad esempio attacchi di Windows contro macchine Unix), attacchi a forza bruta ecc.

Se un attacco proviene da un'azienda registrata potresti avere fortuna, ad esempio riportare al contatto abusivo di HP può ottenere risultati molto rapidi - poiché le grandi aziende non vogliono le implicazioni legali di trattare con un computer di cui sono implicate in un attacco .

------- così tanto per le cose buone -------

Scoprire a chi rivolgersi è un grosso problema. Cerca ARIN, RIPE o il tuo equivalente regionale - Scoprirai che i record di whois per "cattivi" sono improbabili che siano corretti e in ogni caso un gran numero di scansioni e attacchi automatici provengono da computer domestici o botnet compromessi, così mentre tu potrebbe avere un contatto presso un ISP, potrebbero non avere il potere di fare nulla. Potrebbero aver esternalizzato sottoreti ad altri ISP in ogni caso, oppure potrebbero non voler essere coinvolti.

In base all'esperienza, è molto più probabile che tu agisca se sei un addetto alla sicurezza che lavora per un Fortune 350, in caso contrario devi aspettarti rimbalzi o comunicazioni ignorate. Il modo per aggirare questo è spesso contattare il loro CEO, CISO o Direttore Marketing: -)

In termini di informazioni da includere - il log e qualsiasi informazione di offset data / ora sono gli elementi chiave da trasmettere.

    
risposta data 03.02.2011 - 18:20
fonte

Leggi altre domande sui tag