¿Las métricas agnósticas del sistema operativo (o plataforma) para entender si un sistema está comprometido?

Navega tus respuestas
0

Para los sistemas basados en Windows, he visto que los cambios en el Registro o en los Directorios del sistema son algunas de las cosas que se utilizan para rastrear si una máquina se ha comprometido. Deben existir cosas similares para otras plataformas, y debo admitir que no las conozco.

Mi curiosidad aquí es que ¿cuáles son las mejores métricas que el personal de seguridad puede querer aprovechar (en el propio host o en el nivel de administrador de red) para decidir si un sistema se ha comprometido y hacerlos en un SO ¿De manera agnóstica? Es decir, estas métricas no deberían cambiar, independientemente de Windows, * nix, Mac o dispositivos de mano con Android, etc.

    
pregunta pnp 14.06.2014 - 17:09
fuente

1 respuesta

1

Allí hay no tengo un conjunto simple de métricas, me temo. Las computadoras modernas están diseñadas para propósitos generales y, por lo tanto, son muy complejas.

Los compromisos modernos también pueden ser complejos. Muchos compromisos de Windows son muy difíciles de detectar y ciertamente no tocarían el registro.

Algunos cambios que se deben buscar en todos los sistemas son:

  • Cambios en el sector de arranque
  • Cambios en los archivos del sistema que no coinciden con las actualizaciones controladas
  • Cambios en los archivos de configuración que no coinciden con las actualizaciones controladas

A partir de esto, probablemente pueda reconocer que necesita tener controles de cambio y métodos muy ajustados para realizar un seguimiento de los cambios.

    
respondido por el Julian Knight 14.06.2014 - 17:26
fuente

Lea otras preguntas en las etiquetas

Alternativa a TrueCrypt (encriptar partición) Vencer CSRF usando tokens