随着谷歌和其他人的消息被黑客攻击,我想知道公司是如何发现,检测和/或知道他们已经被黑客入侵的?
当然,如果他们在用户的计算机上发现病毒/特洛伊木马,或者看到他们的系统部分访问率非常高,通常看不到很多(如果有的话)stream量。 但是,从我看到的文章来看,这次攻击相当“复杂”,所以我不会想象黑客会首先把黑客攻击变得如此明显。
也许有人可以启发我当前的检测scheme/启发式。 谢谢。
一般他们寻找微妙的法医线索; 比如他们的主页被改成一个横幅,上面写着“TeH L33t Krew !! haahah1h1 !! no noobs”
一个成功的黑客是一个不被发现的;)
系统pipe理员可以设置蜜jar ,虚拟计算机来欺骗黑客,使他们认为自己是一个真实的数据系统。 在蜜jar中监控所有活动,并研究黑客的行为,以帮助了解更多关于黑客或病毒试图做什么来帮助安全专家了解如何防止未来入侵的信息。
他们还可以使用自动入侵检测系统来帮助他们检测可疑活动
如果做得好,或者没有内部技能和实践,他们就不会知道。 为了发现已经执行了攻击,需要实施一些措施(我并不详尽),例如审计文件更改,收集IDS日志以及使用多主机关联进行深度分析。
而且,一个有决心的人一定会在收集到尽可能多的关于目标的信息之后,尝试首先使用社会工程,因为用户通常是安全链中最薄弱的环节。
我猜想,大多数我们听到的高度宣传黑客从公司或媒体开始,被最终用户吹嘘,说有人弄坏了他们的账户/窃取了他们的身份等等。
然后,公司对此做出反应,查看日志,试图发现问题的严重程度以及发生的情况,修补漏洞等,然后(可能)发布新闻稿,并尝试联系受影响的客户。
但是,是的,我猜想通常是一个受到影响的最终用户。
如何检测它取决于你正在服务的是什么。 作为我们的备份系统的一部分,我有一个脚本,将我们公司的网站映射到内部服务器,只传输已经改变的内容。 在最后,脚本parsing日志寻找任何更改,添加或删除,并发送给我一个电子邮件,如果有的话。 那样的话,即使有一个不太明显的变化,我也会(应该)查出来。 当然,脚本依赖于内部服务器,而不是Web服务器。