Considerazione dello scenario in cui l'utente malintenzionato è in grado di estrapolare dati sensibili da un sistema compromesso a una rete esterna o Internet, ma esistono solo modi limitati per ottenere ciò poiché la connessione in uscita è configurata per non consentire la connessione su qualsiasi protocollo di livello applicazione basato su TCP, quindi l'attaccante ha deciso di estrarre i dati tramite DNS che sono consentiti dalla configurazione (Sì, questo è l'errore).
Secondo me, ci sono due modi per rilevare questo tipo di exfiltration:
- Basato sul contenuto : il contenuto dei dati trasferiti deve essere ispezionato per trovare dati sensibili o qualsiasi cosa come la firma del file, l'intestazione o le proprietà del file.
- Basato sul volume : la quantità di dati deve essere confrontata con baseline di utilizzo dei dati . Se il volume attuale dei dati (in un certo periodo di tempo) è più grande della baseline di utilizzo dei dati, allora w00t w00t!
Queste sono le mie domande:
- C'è qualche altra soluzione efficace per rilevare l'estrazione di dati nello scenario come questo?
- Per il rilevamento basato sul volume, esistono dei consigli per calcolare la base di utilizzo dei dati ? L'utilizzo medio di dati per un mese è sufficiente?