Dopo essere stati violati, le aziende spesso forniscono numeri e dettagli su quanti dei loro dati sono stati compromessi, ad esempio "13K utente e password".
Dopo una possibile intrusione, come fai a sapere cosa ha fatto l'hacker sul tuo server?
Dopo essere stati violati, le aziende spesso forniscono numeri e dettagli su quanti dei loro dati sono stati compromessi, ad esempio "13K utente e password".
Dopo una possibile intrusione, come fai a sapere cosa ha fatto l'hacker sul tuo server?
Security Stack Exchange ha una serie di domande e risposte in quest'area: dovresti dare un'occhiata.
Mentre il forensics post-incidente è un settore abbastanza maturo, e ne ho gestito alcuni, è un costo elevato, e la maggior parte delle organizzazioni ha la visione ragionevole di assumere il caso peggiore: l'hacker potrebbe aver accesso a tutto. Un normale approccio è quello di pulire le macchine e ripristinare un backup eseguito prima dell'incidente, ma questo può essere molto costoso in una grande azienda.
In termini di probabilità di identificazione delle attività, se si accede al perimetro si può spesso scoprire come è arrivato l'attaccante, ma dopo questo punto, se si configura un server SSH o un altro canale crittografato nella propria rete perdere i dettagli dopo.
Per i singoli server, potresti avere dei registri che possono essere trascinati attraverso (molto tempo) ma se l'hacker ha messo radici su queste macchine potrebbero alterare i log per nascondere qualsiasi prova - motivo per cui è sempre consigliabile accedere a una macchina altrove che ha una scrittura una volta, legge molti filesystem (il che significa che qualsiasi cosa scritta non può mai essere cancellata)
Gli strati di sicurezza aiutano non solo a prevenire le intrusioni, ma a rilevarle prima che diventino uno scenario di "decollo e nuke from orbit".
Per inciso in modo interessante - molte volte quando si esegue un'analisi forense dopo un incidente, i team trovano prove di altre intrusioni ben nascoste, a lungo termine ... preoccupate, chiunque?
Assumi lo scenario peggiore. Esamina i tuoi log, trova tutto ciò che potrebbe avere accesso e presume che ne abbiano preso una copia.
Si spera che la loro attività sia registrata e che tu possa analizzare ciò che hanno fatto. Altrimenti, senza alcuna traccia della loro attività, è difficile determinare cosa si sarebbe potuto fare. Assumerei sempre il peggio, ma spero per il meglio. Di solito le aziende segnalano il caso peggiore di intrusione per avvisare i propri clienti di ciò che potrebbe essere stato compromesso.
Leggi altre domande sui tag security server-side hacking