No he leído mucho acerca de esta técnica, pero me pregunto si hay algún tipo de práctica recomendada en relación con el uso de "canarios" para detectar ciertos tipos de intrusión:
- Cree una cuenta falsa que nunca deba iniciar sesión. Si alguien intenta acceder a esa cuenta, informe un intento de intrusión.
- "Sembrar" la base de datos con direcciones de correo electrónico u otra información que se puede monitorear. Si empiezas a recibir correos electrónicos (o correo postal, llamadas telefónicas, etc.) en la información monitoreada, tocas el timbre, estás jodido: alguien robó tu base de datos. (Así fue como descubrí la filtración de datos de Ameritrade de hace unos años, antes de que divulgaran públicamente la filtración).
Claramente, cosas como la monitorización 404 para escaneos serán muy ruidosas. (Uno de mis muy poco tráfico ve toneladas de solicitudes de phpMyAdmin y wp-content ...) Y es obvio que la segunda viñeta de arriba es demasiado tarde para valer mucho. La primera bala puede ser demasiado ruidosa.
Un IDS adecuado hará un trabajo más completo. ¿Algo de esto es útil? ¿Hay cosas que me faltan?