Las organizaciones que tienen esto en manos de una bella arte son las compañías globales de Seguridad como Servicio. Son los únicos jugadores lo suficientemente grandes como para conectarse a ISP, Fortune 350, etc. También trabajan bien con las organizaciones para comprender su registro de activos, lo que ayuda a eliminar los ataques que podrían ser reales.
Si no usa uno de ellos para administrar la seguridad de su perímetro, la carga de trabajo para identificar los ataques en el perímetro debe pasar a los scripts o dispositivos en la parte principal. Para la mayoría de las organizaciones, hay demasiados intentos de ataques. .
Si puede implementar un dispositivo perimetral para descartar ataques básicos, esto debería hacerse cargo del escaneo general del puerto. Los tipos de abuso que puede detectar en el dispositivo que no son útiles para informar incluyen intentos de explotación que no coinciden con su infraestructura (por ejemplo, ataques de Windows contra equipos Unix), ataques de fuerza bruta, etc.
Si un ataque proviene de una empresa registrada, es posible que tenga suerte, por ejemplo, informar al contacto de abuso de HP puede obtener resultados muy rápidos, ya que las grandes empresas no quieren que las implicaciones legales de tratar con una computadora de su propiedad estén implicadas en un ataque. .
------- tanto por lo bueno -------
Averiguar a quién informar es un problema importante. Busque ARIN, RIPE o su equivalente regional: encontrará que es poco probable que los registros de whois para 'malos' sean correctos y, en cualquier caso, una gran cantidad de escaneos y ataques automáticos provienen de computadoras domésticas o botnets comprometidas, por lo que mientras pueden tener un contacto en un ISP, pueden no tener poder para hacer nada. De todos modos, es posible que hayan subcontratado subredes a otros ISP, o simplemente no quieran participar.
Por experiencia, es mucho más probable que actúes si eres una persona de seguridad que trabaja para una Fortune 350, en caso de que debas esperar rebotes o comunicaciones ignoradas. La forma de evitar esto a menudo es contactar a su Director Ejecutivo, CISO o Director de Marketing :-)
En términos de información para incluir: el registro y cualquier información de compensación de marca de tiempo son los elementos clave para transmitir.