En mi organización, tenemos un IPS detrás de un firewall. Cada vez que se desencadena un evento de seguridad, me pregunto si el ataque es realmente exitoso. Para los eventos que están programados para incluirse en línea, podemos estar seguros de que es muy poco probable que el ataque no tenga éxito. Pero, ¿cómo determinamos si un ataque es exitoso para eventos que están configurados para alertar solamente?
En casos como estos, observaría la carga útil y PCAP para obtener la mayor cantidad de información posible. Sin embargo, la mayoría de las veces, todavía no puedo determinar si el ataque fue exitoso.
Para casos como estos, ¿cómo determinamos si un ataque tiene éxito?