La maggior parte delle volte, quando viene rilevato un intruso, lo scollegheremo immediatamente. Tuttavia, ci sono alcuni casi in cui l'intruso non è disconnesso.
Quali sono i vantaggi di non disconnettere l'intruso? Posso dire qualcosa del genere, alcune organizzazioni vorrebbero rintracciare l'identità dell'intruso e non disconnettere l'intruso, è possibile?
Conoscere un attaccante e non disconnetterlo ti permetterà di raccogliere prove sull'attaccante come determinare il motivo dell'attacco, determinare gli strumenti che l'attaccante sta usando, determinare la modalità di funzionamento dell'attaccante e forse ... solo forse, ma non probabile, essere in grado di rintracciare la connessione di nuovo all'attaccante. Potresti quindi provare a utilizzare l'attribuzione per determinare i probabili sospetti.
Questo potrebbe avere implicazioni legali e di reputazione. Immagina cosa diranno le notizie della Fox in onda quando scopriranno che hai permesso all'aggressore di accedere alla tua rete, compromettendo la riservatezza dei dati aziendali. A mio parere, a meno che l'attaccante non sia attualmente in un honeypot che tu abbia configurato deliberatamente, è meglio disconnetterli e esaminare le prove che hai attualmente.
Un'altra considerazione è che una disconnessione segnala chiaramente all'attaccante che sono stati individuati. Potrebbero quindi provare un approccio diverso da un altro indirizzo IP e vedere fino a che punto arrivano prima di essere individuati.
Se disponi di operazioni 24x7, può avere senso avvisare automaticamente un operatore di un attacco, ma disconnettere l'attaccante da un'azione manuale.
In linea generale, è preferibile disconnettere l'intruso e quindi chiudere la connessione a Internet per impedire che ritornino e causando ulteriori danni nella rete. Una volta che ciò accade, è possibile esaminare i registri e determinare in che modo hanno avuto accesso in primo luogo, quali dati sono stati acceduti, ecc. Alcuni aggressori molto determinati tenteranno continuamente di accedere a una rete. Qui vengono in mente gli intrusi sponsorizzati dallo Stato.
La risposta dipende da chi sei e da cosa sta accedendo all'attaccante. Se sei un utente domestico, hai paura di perdere le tue password bancarie o numeri di carte di credito, sì, disconnetti. Se sei un investigatore aziendale interno addestrato a catturare prove forensi, e l'attaccante viene sorpreso a sondare i tuoi sistemi, probabilmente inizierai presentando un incidente e iniziando a tracciare la loro attività.
Tuttavia, se il sistema cui accede l'utente malintenzionato contiene database delle informazioni protette dal governo dei propri clienti (GLBA, HIPAA, FERPA, COPA, ecc.) o le loro informazioni finanziarie coperte dai regolamenti PCI (numeri di carta di credito, ecc.), dovresti probabilmente contattare il tuo ufficio dell'FBI locale e chiedere la loro unità di crimini informatici. In assenza di qualsiasi altro piano di risposta, lo farei immediatamente mentre il crimine è in corso, ma in ogni caso sarà probabilmente richiesto di segnalarlo a loro entro 24 ore dalla scoperta. Dovrebbero fornire la risposta appropriata, che potrebbe includere "non fare nulla per due ore mentre inviamo qualcuno a indagare".
La cosa più importante è che la tua risposta dovrebbe essere determinata in anticipo e scritta in una politica di sicurezza delle informazioni insieme al consiglio dell'avvocato aziendale. Forse deciderete di mettere una società investigativa sul fermo, e usarli come primo contatto (al fine di evitare cattive pubblicità riguardo al contatto con l'FBI se determinano che l'attaccante non ha accesso ai dati protetti). Ma è importante pianificare questo in anticipo - se un attacco si verifica a mezzanotte, è probabile che la prima risposta dell'amministratore non chiami l'avvocato per un consiglio.