Metriche agnostiche del sistema operativo (o della piattaforma) per capire se un sistema è compromesso?

Naviga le tue risposte
0

Per i sistemi basati su Windows, ho visto che le modifiche apportate al Registro di sistema o alle Directory di sistema sono alcune delle cose che vengono utilizzate per tracciare se una macchina è stata compromessa. Cose simili devono esistere per altre piattaforme - e devo ammettere che non ne sono a conoscenza.

La mia curiosità qui è che quali sono le migliori metriche che un personale di sicurezza potrebbe voler sfruttare (presso l'host stesso o a livello di amministratore di rete) per decidere se un sistema è stato compromesso e farlo in un sistema operativo modo agnostico? Cioè, queste metriche non dovrebbero cambiare - indipendentemente da Windows, * nix, Mac o dispositivi palmari con Android ecc.

    
posta pnp 14.06.2014 - 17:09
fonte

1 risposta

1

è nessuna semplice serie di metriche temo. I computer moderni sono progettati per essere generici e quindi sono molto complessi.

I compromessi moderni possono anche essere complessi. Molti compromessi di Windows sono molto difficili da rilevare e certamente non toccherebbero il registro.

Alcune modifiche da cercare su sistemi diversi sono:

  • Modifiche al settore di avvio
  • Cambia i file di sistema che non corrispondono agli aggiornamenti controllati
  • Modifiche ai file di configurazione che non corrispondono agli aggiornamenti controllati

Da questo, puoi probabilmente riconoscere che è necessario disporre di controlli e metodi di modifica molto stretti per tenere traccia delle modifiche.

    
risposta data 14.06.2014 - 17:26
fonte

Leggi altre domande sui tag

Annusamento del contenuto della posta elettronica all'interno della rete [chiuso] In che modo il nuovo malware "Dyer" aggira SSL?