¿Hay signos reveladores de auto-piratería? [cerrado]

15

Después del Mt.Gox , y también teniendo en cuenta Recientemente se publicaron ataques contra Target y Neiman Marcus, y se cree que a veces los llamados "piratas informáticos" son perpetrados por expertos.

¿Cuáles son los signos reveladores de un compromiso liderado por información privilegiada en lugar de una intrusión por amenazas externas? Limite sus argumentos a la evidencia forense digital de los sistemas afectados, y no de las computadoras personales / móviles de los sospechosos, etc.

¿Es realmente posible abarcar por completo los rastros de personas con información privilegiada en un compromiso?

    
pregunta Deer Hunter 25.02.2014 - 14:11
fuente

2 respuestas

19

La única evidencia confiable de que una persona interna está atacando tus sistemas es si los atrapas con sus dedos en el teclado.

Las personas a menudo sospechan que hay información privilegiada porque han gastado una cantidad extraordinaria de dinero en la construcción de defensas extremadamente sofisticadas, y simplemente no pueden imaginar a un hacker capaz de navegar por ellas. Tienen procesos de publicación grandiosos que aseguran que solo el código que ha pasado a través de QA se lanzará a producción. Tienen firewalls que bloquean a los atacantes, analizadores NDIS que buscan ataques, herramientas antivirus en todos los puntos finales y herramientas DLP para observar las actividades de exfiltración de datos. Tienen todos los procesos, mejores prácticas, proyectos, planes, hojas de cálculo, auditorías y listas de verificación infinitas.

Mientras tanto, el hacker no sabe nada de esto. Simplemente explotan un agujero y escalan sus privilegios; luego muévase lateralmente por la red usando credenciales robadas que aparecen como cualquier otro usuario legítimo. Eventualmente, encuentran su camino hacia una máquina que contiene información valiosa. O bien usan herramientas personalizadas y modificadas que no activan los escáneres AV o NDIS, o usan las propias herramientas del sistema operativo ya presentes en las máquinas de la víctima. Una vez que encuentran los datos que están buscando, codifican sus productos robados para evitar las herramientas DLP, lo camuflan para que se vea como el tráfico normal y lo envían.

Cuando has invertido tanto en la construcción de un sistema de seguridad que parece formidable, es difícil creer que el atacante pueda ser cualquier cosa menos un interno. En lugar de saltar a la suposición de que es un trabajo interno, es tu deber seguir cavando hasta que encuentres el rastro real.

Sus mejores apuestas serán buscar a través de servidores de registro independientes, donde el atacante puede no haber tenido acceso para corromper los registros. Una vez que haya identificado las credenciales, regrese a las máquinas donde se usaron esas credenciales, en busca de la evidencia del ataque. Los registros de enrutador, NDIS o firewall también serán útiles.

    
respondido por el John Deters 25.02.2014 - 15:07
fuente
1

Uno llega a una interpretación muy extraña de una pregunta cuando suena como un punto de trama ciberpunk y aparece junto a un pequeño icono que evoca con más fuerza un símbolo de Transformers. Pensé que esto debía ser una pregunta de juego antes de seguir el enlace.

Tenga en cuenta que una información privilegiada por definición ya tiene acceso legítimo a muchos activos; es conocido y probablemente es de confianza para al menos un ejecutivo, que tiene más acceso; Es probable que esté protegido por seguridad contratada de interferencia ordinaria. Pueden ser capaces de subvertir las relaciones de confianza para realizar tareas que individualmente parezcan deseables o, al menos, inofensivas (incluso dañinas , aunque no mucho ni a menudo), que un forastero malicioso desee hacer, pero que se le impida activamente intentar (con pocas posibilidades de obtener acceso o evitar las represalias). A menos que el usuario privilegiado cometa un error obvio (por ejemplo, participar en una conspiración con su propio información confidencial maliciosa), es probable que eviten la detección indefinidamente.

Es instructivo observar cómo se han producido las mayores filtraciones de información del gobierno. En el caso del Wikileak más grande, parece que se proporcionó acceso casi sin restricciones a un técnico de rango relativamente bajo. No se reconoció que estuviera haciendo otra cosa que no fuera el trabajo que se esperaba de él, pero su objetivo era comprometer completamente la seguridad de la información. Todo lo que intentó fue permitido.

La mejor manera de proteger un activo es nunca hacerlo disponible. Si debe ser expuesto, cada acceso requiere una justificación proporcional a su importancia. Uno no debe suponer que podría volver a ser inaccesible.

    
respondido por el user130144 26.02.2014 - 00:39
fuente

Lea otras preguntas en las etiquetas