Saber cuándo ha habido una violación de datos de su base de datos

Navega tus respuestas
18

¿Cómo saben las empresas cuando ha habido una violación de datos?

Por ejemplo, ¿monitorean los registros de eventos para las auditorías de inicio de sesión o esperan hasta que se haga un pegado de sus datos en un sitio de tipo pastebin?

¿Es posible que muchas empresas más pequeñas nunca sepan que sus datos han sido robados?

    
pregunta DomBat 22.01.2015 - 12:52
fuente

3 respuestas

18

El número de medidas de seguridad implementadas y las capacidades para detectar violaciones variarán ampliamente de una compañía a otra y dependerán del tipo de datos que se roben.

Hay varias formas en que una empresa se enterará de una infracción:

  • el software de seguridad detecta el comportamiento anormal y lo marca para una revisión posterior (o lo detiene sobre la marcha cuando una parte de los datos ya salió de la red)
  • mientras audita rutinariamente los registros (por ejemplo, de un servidor web), la compañía detecta un posible vector de ataque y lo confirma
  • la compañía recibe una nota de un empleado interno (por ejemplo, de un banco si los datos de pago estaban involucrados y ahora se utilizan incorrectamente)
  • los atacantes se contactan con la compañía (por ejemplo, para extorsionar dinero)
  • los usuarios / clientes alertan a la compañía (por ejemplo, se queja sobre el spam que se envió a las direcciones de correo electrónico relacionadas que fueron robadas)
  • noticias, reporteros u otras personas toman sus manos sobre los datos robados y los informan públicamente o en privado
  • ..

Dado que la cantidad de atacantes y sus motivos para robar datos de las compañías, así como la forma en que los usan, al final difiere de la violación a la violación, es totalmente posible que las compañías pequeñas (e incluso más grandes) nunca sepan que sus datos ha sido robado.
Si los atacantes no usan o publican los datos robados, será difícil reconocerlos si no cuenta con las rutinas de seguridad y las herramientas necesarias para detectar dicha violación.

También habrá casos en los que el origen de una infracción no se pueda rastrear fácilmente. Especialmente si una pequeña cantidad de datos robados se fusiona con partes más grandes (por ejemplo, unas 50 direcciones de correo electrónico de clientes utilizadas en una gran campaña de spam con millones de otros destinatarios)

    
respondido por el Denis 22.01.2015 - 13:33
fuente
9

Una cosa que aún no se ha mencionado: datos falsos que de otra manera nunca se usarían. Si alguna vez se encuentra con esa información, se filtraron sus datos.

En la medida en que esto es prácticamente útil depende de los datos. Un intento de inicio de sesión para un nombre de usuario específico es un buen ejemplo, porque es probable que surja ese tipo de datos filtrados.

    
respondido por el Jan Doggen 22.01.2015 - 14:49
fuente
3

Es muy posible que las empresas más pequeñas nunca sepan que han sido comprometidas. Después de todo, ¿cuánto pagan por sus aplicaciones? Los más grandes tienen el beneficio de que la policía se ponga en contacto, pero todos los demás tienen que vivir con la desgracia.

    
respondido por el munchkin 22.01.2015 - 13:10
fuente

Lea otras preguntas en las etiquetas

¿Es una vulnerabilidad mostrar los mensajes de excepción en una página de error? Ataque DDOS de amplificación de DNS