¿Cómo puedo defenderme contra un ataque de robo de datos sin apagar mi servidor / servicios? [cerrado]

Navega tus respuestas
-1

Según la información que he recopilado en este sitio, no es posible una defensa perfecta en el área de seguridad del servidor web. El software subyacente y / o los mantenedores del sistema pueden ser explotados para obtener acceso a cualquier sistema en la Tierra conectado a la Web.

Así que la respuesta a la seguridad del servidor se convierte en un plan de batalla dinámico.

  • Detección "temprana" de la amenaza.
  • Análisis detallado del "chink" en la defensa que ha sido explotada.
  • Adaptación rápida y agresiva para detener el robo de datos y reparar la defensa, preferiblemente sin cerrar la aplicación para millones de usuarios en todo el mundo.

Soy consciente de que algunas grandes empresas tienen o al menos han tenido en algún momento una política de tiempo de inactividad (Facebook), por lo que desconectar el sistema mientras se repara la defensa no siempre es una opción.

Entonces, ¿qué estrategias se utilizan para detener un ataque de robo de datos sin apagar el servidor por completo?

    
pregunta Viziionary 25.08.2015 - 22:05
fuente

2 respuestas

1

Recuerde que las empresas que desean un tiempo de inactividad cercano a cero tendrán múltiples servidores en varios centros de datos. Por lo tanto, apagar un servidor o un centro de datos siempre será una opción para cualquier empresa que desee obtener un tiempo de actividad superior al 99,90%.

En cuanto a cómo responder a un ataque, dependerá de la naturaleza y la etapa del ataque. Si tiene una vulnerabilidad de SQLi que está siendo explotada, pero aún no ha conducido a un shell de SO, deshabilitar la característica vulnerable puede ser suficiente para detener el ataque. Si un atacante obtuvo una raíz en un servidor, deberá desconectar ese servidor y volver a crear una imagen del sistema operativo y, posiblemente, del BIOS.

En resumen, deberá elaborar un plan de respuesta a incidentes, pensar en las posibles etapas de ataque y predeterminar su mejor forma de recuperación. Esto incluirá el cierre de servidores en algunas situaciones, por lo que si necesita el tiempo de actividad, genere redundancia.

    
respondido por el David Waters 25.08.2015 - 23:24
fuente
2

Si puedo llevar esto en una dirección ligeramente diferente, la situación que está describiendo es la razón por la que muchos desarrolladores y administradores de sistemas de seguridad han adoptado un enfoque más preventivo en lugar de reactivo a los datos vulnerables. Si alguien lo suficientemente inteligente como realmente quiere irrumpir en sus servidores, probablemente lo hará. Sin embargo, después de hacer eso, el daño que pueden hacer depende de lo bien que te hayas preparado.

Algunas estrategias pueden incluir:

  • Mantener los datos confidenciales encriptados de una manera que no sea posible descifrar en masa. Esto significa que, en caso de una infracción, puede tener cierto grado de confianza de que, incluso si los datos son robados, el costo de la infracción se reduce.

  • La autenticación por separación se usa en todas las aplicaciones, nodos y clústeres para evitar el escape de un entorno explotado a uno limpio

  • Implementando un sistema adecuado de detección de intrusiones que pueda incluir la revocación automática de claves y roles de inicio de sesión

respondido por el Nic Barker 26.08.2015 - 04:59
fuente

Lea otras preguntas en las etiquetas

iFrame o Tokenization para transacciones con tarjeta de crédito [cerrado] ¿Cómo detectar / bloquear el tráfico i2p? [cerrado]