Sto iniziando a essere coinvolto in incidenti, alcuni di loro sono APT (Advanced Persistent Threat).
Nonostante la complessità disponibile nella 'bibliografia' e nelle conferenze o e-zine di sicurezza, le tecniche che ho trovato usate dagli intrusi sono per la maggior parte degli intrufolamenti di rete, interruzioni di malware attraverso e-mail inviate ai dipendenti di la società o, quindi, rubare le password e interrompere la gestione sfruttando una vulnerabilità molto vecchia sul server non aggiornato.
Non ho mai trovato Covert Channel o Kernel Rootkit. E per la maggior parte tutte le backdoor e gli strumenti usati dagli intrusi sono stati lasciati in chiaro sul file system.
Qual è la tua esperienza con l'incidente? Hai scoperto che alcune tecniche avanzate usate dagli intrusi o per la maggior parte delle interruzioni sono sfruttate usando tecniche semplici e vecchie?