¿Cómo detectó Evernote la brecha de seguridad?

5

enlace

El mensaje oficial de Evernote dice poco sobre los detalles técnicos del ataque y cómo se detectó.

Preguntas:

0) Especular: ¿Cómo detectó Evernote la violación de la seguridad?

1) ¿Cómo se puede prevenir y detectar el acceso no autorizado a la base de datos con credenciales válidas?

2) ¿Cómo se puede prevenir y detectar la pérdida de datos en la base de datos o en el almacenamiento de archivos?

Si estas son preguntas demasiado abstractas, suponga:

  • Esta es una aplicación web de cliente enriquecido con base de datos backend y Node.JS en medio.
  • Apache Cassandra es el almacén de datos principal y ElasticSearch es un motor / índice de búsqueda
  • El vector de ataque de inyección SQL no es aplicable o se ha mitigado.
pregunta Matrix 08.03.2013 - 11:05
fuente

2 respuestas

7
  1. Especulación: buscan contratar a personas que tengan experiencia con:

    • OSSEC (IDS basado en host)
    • Tripwire y Samhain (integridad de archivos)
    • Splunk (agregación de registros, informes y alertas)
    • Nagios
    • firewall & gestión de amenazas
    • grsecurity / pax / suhosin etc
    • Nmap, BackTrack y Metasploit (herramientas de seguridad proactivas)

    Cuando se rompió el perímetro, su monitoreo y administración del sistema funcionó .

  2. Suponiendo un modelo privilegio mínimo , cuentas no administrativas que acceden a tablas / datos para los que no tienen acceso (violación registrada); o consultas que no coinciden con los patrones "conocidos" ( detección adaptativa o de anomalías ); o consultas que coincidan con patrones "conocidos como malos" ( SELECT * FROM USERS ), es decir IDS basados en firmas ; o patrones de carga del sistema atípico; o volumen de datos atípicos por consulta.

  3. DLP , es decir, filtro / inspección de contenido saliente para valores canarios , o valores sospechosos (el caso clásico son cadenas que son números válidos de tarjetas de crédito o números SS)

respondido por el mr.spuratic 08.03.2013 - 11:48
fuente
2

Lo más probable es que fuera detectado por algún tipo de IDS (que es su trabajo, después de todo), o por una inspección de registro manual. Este comportamiento puede activar las alarmas:

  • Si se realizó un volcado de base de datos fuera del horario regular.
  • Inicios de sesión de IPs inusuales.
  • Inicios de sesión en momentos inusuales.
  • Picos de tráfico inusuales.
  • Al registrar el tráfico de la red, por ejemplo, uno podría inspeccionar paquetes para obtener información de la base de datos que nunca debería abandonar los servidores.
  • Las cuentas que realizan acciones que normalmente no realizan, o no tienen derecho a realizar.
  • Cualquier comportamiento inusual realmente.

Una vez que las acciones están marcadas por un IDS, se realiza una inspección manual, con mayor o menor urgencia, dependiendo de cómo lo haya clasificado el IDS.

Puede intentar evitar el acceso no autorizado implementando un esquema como el anterior.

    
respondido por el GBC 08.03.2013 - 11:28
fuente

Lea otras preguntas en las etiquetas