¿Herramientas para identificar e informar sobre intentos de piratería que se originan dentro de organizaciones acreditadas?

6

Re: ¿Debo informar sobre intentos de piratería? - Error del servidor

Mucha gente mira sus propios registros para detectar ataques desde el exterior. ¿Pero quién reporta regularmente tales ataques a la fuente? Principalmente me imagino que eso suceda por intentos que se originan dentro de las redes de organizaciones acreditadas (por ejemplo, desde una máquina comprometida dentro de una universidad o empresa o ISP).

¿Cuántas organizaciones aceptan este tipo de informes y tienden a manejarlos de manera efectiva? ¿Hay alguna forma de identificar a los que lo hacen?

¿Qué herramientas existen para ayudar a identificar dichos ataques y elaborar dichos informes?

  • Identificar los tipos de abuso que son útiles para informar
  • Averiguar a quién informarle
  • Incluyendo la información que ayudaría a la organización a rastrear el origen del ataque y / o quién es responsable
  • ¿Tratar con informes que son rechazados, o lo que sea?

Consulte también: Detección de intentos de ataque al sitio web

    
pregunta nealmcb 03.02.2011 - 15:54
fuente

1 respuesta

2

Las organizaciones que tienen esto en manos de una bella arte son las compañías globales de Seguridad como Servicio. Son los únicos jugadores lo suficientemente grandes como para conectarse a ISP, Fortune 350, etc. También trabajan bien con las organizaciones para comprender su registro de activos, lo que ayuda a eliminar los ataques que podrían ser reales.

Si no usa uno de ellos para administrar la seguridad de su perímetro, la carga de trabajo para identificar los ataques en el perímetro debe pasar a los scripts o dispositivos en la parte principal. Para la mayoría de las organizaciones, hay demasiados intentos de ataques. .

Si puede implementar un dispositivo perimetral para descartar ataques básicos, esto debería hacerse cargo del escaneo general del puerto. Los tipos de abuso que puede detectar en el dispositivo que no son útiles para informar incluyen intentos de explotación que no coinciden con su infraestructura (por ejemplo, ataques de Windows contra equipos Unix), ataques de fuerza bruta, etc.

Si un ataque proviene de una empresa registrada, es posible que tenga suerte, por ejemplo, informar al contacto de abuso de HP puede obtener resultados muy rápidos, ya que las grandes empresas no quieren que las implicaciones legales de tratar con una computadora de su propiedad estén implicadas en un ataque. .

------- tanto por lo bueno -------

Averiguar a quién informar es un problema importante. Busque ARIN, RIPE o su equivalente regional: encontrará que es poco probable que los registros de whois para 'malos' sean correctos y, en cualquier caso, una gran cantidad de escaneos y ataques automáticos provienen de computadoras domésticas o botnets comprometidas, por lo que mientras pueden tener un contacto en un ISP, pueden no tener poder para hacer nada. De todos modos, es posible que hayan subcontratado subredes a otros ISP, o simplemente no quieran participar.

Por experiencia, es mucho más probable que actúes si eres una persona de seguridad que trabaja para una Fortune 350, en caso de que debas esperar rebotes o comunicaciones ignoradas. La forma de evitar esto a menudo es contactar a su Director Ejecutivo, CISO o Director de Marketing :-)

En términos de información para incluir: el registro y cualquier información de compensación de marca de tiempo son los elementos clave para transmitir.

    
respondido por el Rory Alsop 03.02.2011 - 18:20
fuente

Lea otras preguntas en las etiquetas