it-swarm-es.com

¿Herramientas para identificar e informar los intentos de piratería que se originan en las organizaciones de buena reputación?

Re: ¿Debo reportar intentos de piratería? - Fallo del servidor

Mucha gente mira sus propios troncos para los ataques desde el exterior. Pero, ¿quién reporta regularmente tales ataques a la fuente? Estoy imaginando principalmente que sucede para los intentos que se originan desde dentro de las redes de organizaciones de renombre (por ejemplo, desde una máquina comprometida dentro de una universidad o empresa o ISP).

¿Cuántas organizaciones dan la bienvenida a este tipo de informes y tienden a manejarlos de manera efectiva? ¿Hay alguna manera de identificar a los que lo hacen?

¿Qué herramientas existen para ayudar a identificar tales ataques y hacer tales informes?

  • Identificar el tipo de abuso que son útiles para informar.
  • Encontrar a quien informar a
  • Incluyendo la información que ayudaría a la organización a rastrear el origen del ataque y/o quién es responsable.
  • ¿Tratar los informes que se rebotan, o lo que sea?

Ver también: Detección de intentos de ataque del sitio web

6
nealmcb

Las organizaciones que tienen esto a la bella arte son las compañías de seguridad global de seguridad-AS. Son los únicos jugadores lo suficientemente grandes como para enganchar a los ISP, Fortune 350's, etc. También trabajan bien con las organizaciones para comprender su registro de activos, ayudando a eliminar los ataques que podrían ser reales.

Si no usa uno de ellos para administrar su seguridad perimetral, la carga de trabajo para identificar los ataques en el perímetro debe transmitirse a los scripts o dispositivos en la parte principal: para la mayoría de las organizaciones hay demasiados ataques intentos.

Si puede implementar un dispositivo perimetral para reducir los ataques básicos, esto debería cuidar el escaneo general de puertos. Los tipos de abuso que puede detectar a la entrada de ese dispositivo que no son útiles para informar incluyen intentos de explotación que no coinciden con su infraestructura (por ejemplo, ataques de Windows contra máquinas UNIX), ataques de fuerza bruta, etc.

Si un ataque proviene de una empresa registrada, puede tener suerte, por ejemplo, informar al contacto de abuso de HP puede obtener resultados muy rápidos, ya que las grandes empresas no desean que las ramificaciones legales de tratar con una computadora que poseen estar implicadas en un ataque.

------- Tanto para las cosas buenas -------

Averiguar a quién informar es un tema importante. Busque Arin, Maduro o su equivalente regional: encontrará que es poco probable que los registros de WHOIS para "malos chicos" tengan que ser correctos y, en cualquier caso, una gran cantidad de escáneres y ataques automatizados provienen de computadoras o botones comprometidos por lo que mientras usted Puede tener un contacto en un ISP, es posible que no tengan poder para hacer nada. Podrían tener subredes subcontratadas a otros ISP de todos modos, o pueden simplemente no querer involucrarse.

Desde la experiencia, es mucho más probable que obtenga una acción si usted es una persona de seguridad que trabaja para una fortuna 350, lo que no debe esperar rebotar o ignorar las comunicaciones. El camino alrededor de esto es a menudo para ponerse en contacto con su CEO, CISO o Director de Marketing :-)

En términos de información para incluir, el registro y cualquier información de desplazamiento de marca de tiempo son los elementos clave para transmitir.

2
Rory Alsop