In che modo Evernote ha rilevato la violazione della sicurezza?

5

link

Il messaggio ufficiale di Evernote dice poco sui dettagli tecnici dell'attacco e su come è stato rilevato.

Domande:

0) Speculare: in che modo Evernote ha rilevato la violazione della sicurezza?

1) Come può essere impedito e rilevato l'accesso non autorizzato al database con credenziali valide?

2) In che modo è possibile prevenire e rilevare perdite di dati di archiviazione di database o file?

Se si tratta di domande troppo astratte, ipotizza:

  • Questa è un'applicazione web client ricca con database back-end e Node.JS in mezzo.
  • Apache Cassandra è l'archivio dati principale ed ElasticSearch è un motore di ricerca / indice
  • Il vettore di attacco SQL Injection non è applicabile o è stato mitigato.
posta Matrix 08.03.2013 - 11:05
fonte

2 risposte

7
  1. Speculazione: cercano assumono persone che hanno esperienza con:

    • OSSEC (ID basato su host)
    • Tripwire e Samhain (integrità del file)
    • Splunk (aggregazione dei log, rapporti e allarmi)
    • Nagios
    • firewall & gestione delle minacce
    • grsecurity / pax / suhosin ecc.
    • Nmap, BackTrack e Metasploit (strumenti di sicurezza proattiva)

    Quando il perimetro è stato violato, il loro monitoraggio e la gestione del sistema hanno funzionato .

  2. Supponendo un modello il minimo privilegio , account non amministrativi che accedono a tabelle / dati a cui non hanno accesso (violazione registrata); o query che non corrispondono a modelli "noti" ( rilevamento adattivo o anomalo ); o query che corrispondono a modelli "noti male" ( SELECT * FROM USERS ), ad esempio IDS basati su firma ; o modelli di carico del sistema atipici; o volume di dati atipico per query.

  3. DLP , ovvero filtro / ispezione del contenuto in uscita per valori canarini o valori sospetti (il caso classico è stringhe che sono numeri di carta di credito validi o numeri SS)

risposta data 08.03.2013 - 11:48
fonte
2

Probabilmente è stato rilevato da una sorta di IDS (che è il suo lavoro, dopo tutto), anche se l'ispezione del registro manuale. Questo comportamento potrebbe attivare gli allarmi:

  • Se è stato effettuato un dump del database al di fuori della normale pianificazione.
  • Login da IP insoliti.
  • Login a orari insoliti.
  • Insoliti picchi di traffico.
  • Registrando il traffico di rete - ad esempio, è possibile ispezionare i pacchetti per informazioni sul database che non dovrebbero mai lasciare i server.
  • Account che eseguono azioni che in genere non eseguono o che non hanno diritto di eseguire.
  • Qualsiasi comportamento insolito in realtà.

Dopo che le azioni sono state contrassegnate da un IDS, viene eseguita un'ispezione manuale, con urgenza variabile, a seconda di come l'IDS l'ha classificata.

Puoi tentare di impedire l'accesso non autorizzato implementando uno schema come sopra.

    
risposta data 08.03.2013 - 11:28
fonte

Leggi altre domande sui tag