Teniendo en cuenta el escenario en el que el atacante es capaz de filtrar datos confidenciales del sistema comprometido a una red externa o Internet, pero solo hay formas limitadas de lograrlo porque la conexión de salida está configurada para no permitir la conexión en ningún protocolo de capa de aplicación basado en TCP, por lo que el atacante decidió exfiltrar los datos a través de DNS que están permitidos por la configuración (Sí, este es el error).
En mi opinión, hay dos formas de detectar este tipo de exfiltración:
- Basado en el contenido : se debe inspeccionar el contenido de los datos transferidos para encontrar datos confidenciales o cualquier cosa, como la firma del archivo, el encabezado o las propiedades del archivo.
- Volumen basado : la cantidad de datos debe compararse con línea de base de uso de datos . Si el volumen actual de datos (en un período de tiempo) es mayor que la línea de base de uso de datos, ¡entonces w00t w00t!
Estas son mis preguntas:
- ¿Existe alguna otra solución efectiva para detectar la exfiltración de datos en un escenario como este?
- Para la detección basada en el volumen, ¿hay recomendaciones para calcular línea de base de uso de datos ? ¿Solo el uso de datos promedio durante un mes es lo suficientemente bueno?