Domanda:
In che modo le organizzazioni controllano * cosa * è stato violato?
ᔕᖺᘎᕊ
2015-10-27 16:22:01 UTC
view on stackexchange narkive permalink

Nel Regno Unito, la società TalkTalk è stata recentemente compromessa.

Successivamente si è scoperto, dopo "indagini", che l'hack non era così grave come avrebbe potuto essere (e inferiore al previsto).

Mi chiedo: come fanno le organizzazioni (non necessariamente TalkTalk - è proprio quello che mi ha spinto a chiedere) controllare cosa è stato violato? Sono sicuro che ci sono molti modi; ma quali sono i "principali"?

In questo caso, probabilmente chiedendo all'hacker: http://www.wired.co.uk/news/archive/2015-10/26/talktalk-arrest
Oltre a tutte le ottime risposte, e solo come commento a margine: il pubblico più spesso ottiene un risultato forse derivante dalla scientifica, nel qual caso le risposte si applicano. Considera anche che qualsiasi risultato come "oh, non è stato davvero così male", può essere solo una sanguinosa bugia delle società. Quindi, rispetto a determinare "* cosa * è stato violato", una parte sostanziale di ciò che il pubblico vede può essere anche avere tracce o PR e marketing e non solo forense. Anche se forse scegli di ignorarlo quando poni la domanda, l'immagine sarebbe incompleta senza che questo venga menzionato
@humanity Immagino sia possibile, non ci ho davvero pensato così ..: /
IMHO non hanno effettivamente scoperto in modo specifico cosa è stato violato, hanno semplicemente indovinato in base a ciò che è trapelato e lo hanno detto come una dichiarazione di PR per cercare di ridurre il danno percepito. Dato lo scarso livello di sicurezza in primo luogo, dubito che abbiano un registro protetto di cui ci si può fidare.
@JamesRyan Anche io ho pensato la stessa cosa, poiché l'affermazione è stata molto rapida e sembrava strana, ma onestamente, non mi interessa * TalkTalk *: P - era solo un argomento interessante che mi ha incuriosito. Ho appena usato TalkTalk come esempio.
Penso che uno dei problemi principali con il modo in cui questi vengono gestiti ora è che gli `` esperti '' delle indagini prendono i registri compromessi come prove, sembra che sarebbe molto facile alterare i registri per indicare l'IP di qualcun altro e SWAT una parte completamente innocente.
@JamesRyan [gowenfawr's comment] (http://security.stackexchange.com/questions/103805/how-do-competies-check-what-has-been-hacked?noredirect=1#comment180783_103808) spiega che
Nove risposte:
gowenfawr
2015-10-27 16:43:47 UTC
view on stackexchange narkive permalink

In una parola: Forensics”.

Computer forensics è l'arte di esaminare un sistema e determinare cosa gli è successo in precedenza. L'esame di artefatti di file e memoria, in particolare le sequenze temporali dei file, può fornire un'immagine molto chiara di ciò che ha fatto l'attaccante, quando lo ha fatto e cosa ha preso.

Proprio come un esempio, dato un dump della memoria di un sistema Windows, è possibile estrarre non solo le righe di comando digitate da un utente malintenzionato, ma anche l'output che ha visto come risultato dell'esecuzione di quei comandi. Abbastanza utile per determinare l'impatto, eh?

A seconda della freschezza del compromesso, è possibile raccontare molto di quello che è successo.

@AleksandrDubinsky ha suggerito che sarebbe essere utile per delineare i vari campi e tecniche di Computer Forensic, che sono felice di fare per te. Includono, ma non sono limitati a, quanto segue (userò i miei termini approssimativi; non sono ufficiali o completi):

Log / Monitor Forensics : L'utilizzo di dati "esterni" come log centralizzati, log del firewall, acquisizioni di pacchetti e hit IDS si trova a cavallo del confine tra "Detection" e "Forensics". Alcuni dati, come i log (anche centralizzati) non possono essere considerati completi o addirittura veritieri, poiché gli aggressori possono filtrarli o iniettarli una volta che hanno il controllo del sistema. È improbabile che gli strumenti di registrazione dei pacchetti esterni al sistema come firewall, IDS o registratori di pacchetti (come (in precedenza) NetWitness) vengano manomessi, ma contengono solo una quantità limitata di informazioni; di solito solo un record di conversazioni IP e talvolta firme (come URL HTTP) associate ad attività dannose.

A meno che non sia stata utilizzata una connessione di rete non crittografata nella compromissione, questi strumenti raramente sono in grado di dettagliare l'attività durante una compromissione, quindi (tornando alla domanda originale) non "controllare cosa è stato violato. " D'altra parte, se una connessione non crittografata (ftp) è stata utilizzata per esfiltrare i dati in uscita e sono stati registrati pacchetti completi, è possibile sapere esattamente con quali dati è scappato l'attaccante.

Live Forensics : più propriamente parte di Incident Response, la cosiddetta "Live" forensics implica l'accesso al sistema e guardarsi intorno. Gli investigatori possono enumerare i processi, cercare nelle applicazioni (ad esempio la cronologia del browser) ed esplorare il file system alla ricerca di indicazioni su ciò che è accaduto. Ancora una volta, questo di solito è progettato per verificare che sia avvenuto un compromesso e non per determinare l'entità di un compromesso, poiché un sistema compromesso è in grado di nascondere file, processi, connessioni di rete, davvero tutto ciò che vuole. Il lato positivo è che consente l'accesso a cose residenti in memoria (processi, connessioni di rete aperte) che non sono disponibili una volta spento il sistema per visualizzare il disco (ma, ancora una volta, il sistema potrebbe mentire, se è compromesso! )

Analisi forense del file system : una volta che una copia del disco è stata creata, può essere montata su un sistema pulito ed esplorata, eliminando ogni possibilità che il sistema operativo compromesso "mentisca "su quali file sono presenti. Esistono strumenti per creare timeline utilizzando la varietà di timestamp e altri metadati disponibili, incorporando dati di file, dati di registro (su Windows), anche dati di applicazioni (ad esempio cronologia del browser) Non vengono utilizzati solo i tempi di scrittura dei file; i tempi di lettura dei file possono indicare quali file sono stati visualizzati e anche quali programmi sono stati eseguiti (e quando). I file sospetti possono essere eseguiti tramite controlli antivirus puliti, firme create e inviate, eseguibili caricati nei debugger ed esplorati, "stringhe" usate per cercare parole chiave. Su Unix, i file di "cronologia", se non disattivati ​​dall'attaccante, possono dettagliare i comandi immessi dall'attaccante. Su Windows, il servizio Copia shadow può fornire istantanee di attività passate che sono state successivamente ripulite.

Questo è il passaggio più comunemente utilizzato per determinare l'ambito e l'entità di una compromissione , e per determinare quali dati potrebbero essere stati o non essere stati consultati e / o esfiltrati. Questa è la migliore risposta al modo in cui "controlliamo cosa è stato violato".

Disk Forensics : i file eliminati scompaiono dal filesystem, ma non da il disco. Inoltre, gli aggressori intelligenti possono nascondere i propri file nello "spazio libero" dei file esistenti. Queste cose possono essere trovate solo esaminando i byte del disco grezzo e esistono strumenti come The Sleuth Kit per strappare quei dati grezzi e determinare cosa significa del passato. Se era presente un file .bash_history e l'autore dell'attacco lo ha eliminato come ultimo passaggio prima di disconnettersi, quel file potrebbe ancora esistere come blocchi del disco ed essere recuperabile. Allo stesso modo, gli strumenti di attacco che sono stati scaricati e i file di dati temporanei che sono stati esfiltrati possono aiutare a determinare l'entità della compromissione.

Analisi forense della memoria : se l'investigatore riesce ad arrivare abbastanza presto e ottenere un'istantanea della memoria del sistema coinvolto, allora può sondare a fondo le profondità del compromesso. Un utente malintenzionato deve compromettere il kernel per nascondersi dai programmi, ma non c'è modo di nascondere ciò che è stato fatto se è possibile creare un'immagine fedele della memoria del kernel. E proprio come i blocchi del disco contengono dati che da allora sono stati rimossi dal filesystem, il dump della memoria contiene dati che erano in memoria in passato (come la cronologia e l'output della riga di comando!) Che non sono stati ancora sovrascritti ... e la maggior parte i dati non vengono sovrascritti rapidamente.

Vuoi di più? Esistono programmi di formazione e certificazioni per apprendere la medicina legale; probabilmente la formazione pubblicamente disponibile più comune proviene da SANS. Possiedo la certificazione GCFA ("Analista forense"). Puoi anche esaminare le Sfide del progetto Honeynet, in cui le parti competono per svelare i casi a cui sono state date immagini del disco, dump della memoria e campioni di malware da compromissioni effettive: inviano i loro rapporti su ciò che hanno trovato, quindi puoi vedere il tipo di strumenti utilizzati e i risultati ottenuti in questo campo.

Anti-Forensics è un argomento caldo nei commenti - in pratica, "l'attaccante non può semplicemente nascondere le loro tracce? " Ci sono modi per eliminarlo - vedi questo elenco di tecniche - ma è tutt'altro che perfetto e non è ciò che definirei affidabile. Se si considera che "il" dio "del cyber-spionaggio" è arrivato al punto di occupare il firmware del disco rigido per mantenere l'accesso a un sistema senza lasciare traccia sul sistema stesso - e è stato ancora rilevato - sembra chiaro che, alla fine, è più facile rilevare le prove che cancellarle.

Alcune aziende possono anche utilizzare l'analisi dei registri retroattiva come strumento, in cui i dati sulle intrusioni vengono raccolti, ma non utilizzati. Ciò è preoccupantemente comune quando la sicurezza dell'azienda non è considerata degna del personale a tempo pieno. In questo caso, i registri possono contenere tutti i dettagli sui dati a cui si accede, ma nessuno li guarda fino a quando non viene rilevata una violazione con altri mezzi, che si tratti di rapporti dei media o di clienti che si lamentano dell'accesso ai loro account.
Un aggressore preoccupato non ripulirebbe tutte quelle informazioni prima di lasciare il sistema? Alla fine la memoria è limitata, l'attaccante può essere in grado di accedere a quella parte della memoria per cancellarla o può inondare quella memoria per sostituire i vecchi contenuti con quelli nuovi. Non potrebbe?
@YoMismo, la versione breve è "Non è così facile". Anche se molti aggressori cercheranno di cancellare le loro tracce dal disco, anche questo non è facile: questo è ciò che riguarda l'analisi della sequenza temporale, deducendo l'attività dai metadati. Pochissimi vanno oltre e cercano di limitare la loro impronta di memoria, ed è impossibile farlo totalmente - per lo meno, lasci un'impronta del tuo programma di cancellazione dell'impronta! “Tutti i dati lasciano una traccia. La ricerca dei dati lascia una traccia. La cancellazione dei dati lascia una traccia. L'assenza di dati, nelle giuste circostanze, può lasciare la traccia più chiara di tutte ". - C.S. Friedman
@YoMismo Gli hacker finanziati dallo Stato possono farlo. Anche allora, potrebbero fallire.
Grazie per aver aggiunto i dettagli. Sono d'accordo con Alex che prima dell'aggiunta del dettaglio la risposta punta solo a una parola altrettanto indefinita di "medicina legale". Affinché una risposta sia utile, devi parlare a un livello familiare al pubblico. Se sai cosa sono i computer forensics, conosci già la risposta alla domanda.
@YoMismo, ... una volta, durante la progettazione di un sistema particolarmente sensibile, ho effettuato il log su una linea seriale con i pin per la comunicazione in lettura tagliati - letteralmente, un'interfaccia di sola scrittura, con il sistema dall'altra parte accessibile solo da qualcuno che entra fisicamente in un'area protetta. C'è molto che si può fare quando la situazione lo richiede.
Per alcuni tipi di attacco, come Heartbleed, è improbabile che ci siano registri sufficientemente dettagliati per fornire le informazioni necessarie. In casi come questo, potrebbe non essere possibile determinare se è avvenuto un attacco, quindi devi presumere il peggio. Questo è il motivo per cui a volte vedrai aziende prudenti dire cose come ["potremmo essere stati hackerati, o forse no, ma per favore cambia le tue password comunque."] (Https://blog.lastpass.com/2015/06/lastpass -security-notice.html /)
Non ci sono file di sola scrittura per impedire la cancellazione delle tracce?
@YoMismo `Poiché tutte le sue parti sono collegate, l'ambiente intorno al nemico contiene messaggi inestimabili della loro attività. Leggendo questo ambiente, stai leggendo i loro progetti. Anche la polvere parla. Questa non è conoscenza del libro. Questa non è nemmeno conoscenza dello straordinario e dell'ortodosso. Queste sono le osservazioni di uno scout dal campo. Poiché tutto ciò che accade influisce su tutto ciò che lo circonda, il più piccolo fenomeno ti porta alla visione completa. Questo è vero dalla conoscenza dell'esploratore alla visione totale del generale. Il movimento dell'esercito L'arte della guerra Sun Tzu
@gerrit, qualsiasi protezione dei file applicata dal sistema operativo può essere sovvertita una volta che il sistema operativo stesso è stato compromesso. Sebbene l'hardware [WORM] (https://en.wikipedia.org/wiki/Write_once_read_many) esista, sarebbe utile solo per (come esempio) i file di log, e non è abbastanza pratico che io abbia mai visto qualcuno farlo IRL - l'invio di log tramite la rete a un SIEM è molto più semplice ed altrettanto efficace.
@gowenfawr Stavo pensando a dispositivi hardware di sola scrittura adeguati. Ma se l'intera * rete * è compromessa, l'hardware WORM (la stampa fisica dei file di registro su alberi morti dovrebbe fare il trucco?) Non sarebbe più sicuro?
@gerrit quindi i tuoi log registrerebbero i segni della compromissione fino a quando l'attaccante non arriva al punto in cui ottiene il controllo del demone di log ... e la tua capacità di analizzare quei log sarebbe incredibilmente ridotta (non puoi scrivere `grep` !)
@gerrit il volume di dati che le applicazioni moderne registrano generalmente supera di gran lunga la capacità di stampa. Ma in generale, scrivere su un supporto indelebile (unità ottiche non RW per esempio) sarebbe un approccio praticabile.
Nell'ambito dell'hack è incredibilmente facile cancellare le loro tracce. Tutto sul disco è solo dati, se l'hacker aveva il root può modificare i log, può cambiare la cronologia, può cambiare i backup. A meno che le tue prove non siano registrate al di fuori del sistema compromesso, non ci si può fidare che siano accurate e possono essere utilizzate solo come aiuto.
@Peter no, le analisi forensi sono spesso inaffidabili perché vengono fatte false supposizioni e in futuro è probabile che le condanne vengano ribaltate man mano che aumenta la consapevolezza che l'uso di dati compromessi come prova non è corretto.
@YoMismo Provano assolutamente a cancellare le cose. Ricordo quando un amministratore di sistema con cui ho lavorato ha detto che il registro più sicuro disponibile come stampante a matrice di punti stampa i messaggi di registro su carta ad alimentazione continua. Affermò che, poiché gli hacker lo sapevano, non era raro avviare un hack inviando un'enorme quantità di eventi registrabili verso il server, facendo letteralmente esaurire la carta di registro in modo che non riuscisse a registrare l'hack effettivo.
@CortAmmon quindi sarai d'accordo con me. Potrebbe non essere facile ma è sicuramente possibile. Sono interessato a ** cosa ** e ** come **, tali informazioni possono essere o meno accessibili. Ma sono molto interessato a sapere ** QUANDO **, dal momento che potresti sempre essere hackerato (indipendentemente dai problemi che fai poiché ci sono così tante variabili che non puoi prenderle tutte in considerazione) ** quando ** sembra il punto chiave da prendere contro messaggi in caso di violazione. Mi piace pensare a questo come un omicidio, la polizia può catturare l'assassino, può scappare o il crimine non è stato notato, quindi non è mai stato indagato.
"Questo è il passaggio più comunemente utilizzato per determinare la portata e la portata di un compromesso". E uno dei più facilmente sconfitti. Prima di accedere al file, un utente malintenzionato può semplicemente leggere i timestamp esistenti. Quindi aprono il file con "semantica di backup" e infine scrivono i timestamp precedenti dopo che i dati di destinazione sono stati esfiltrati. L'effetto finale è un accesso non rilevabile al file system. La semantica di backup da sola generalmente risulta in un'operazione di lettura non rilevabile. I sistemi vengono compromessi molto più spesso di quanto sappia l'operatore del sistema. L'unico approccio corretto è presumere che tutto sia compromesso.
@YoMismo Non puoi sempre garantire di poter scoprire esattamente quando. Puoi migliorare i tuoi log e renderli più sicuri, ma alla fine, una volta che pensi di essere stato violato, è una questione di seguire i breadcrumb. Più le tracce sono generali, più è probabile che un hacker se ne accorga e le cancelli, o potenzialmente le elabori tutte insieme. Più specifici sono i sentieri per la tua rete, più difficile sarà per loro impedirti di vedere le cose. Il miglior consiglio che ho è la difesa in profondità. Non fare mai affidamento su una contromisura per fare tutto.
@YoMismo vedere il testo che ho appena aggiunto alla risposta sull'anti-forense, include un collegamento al "cosa e come" gli aggressori possono fare per cercare di coprire le loro tracce. Sii consapevole che è una scienza molto imperfetta e che anche i professionisti vengono scoperti nonostante questi metodi.
@gowenfawr grazie per i nuovi link, sono molto illuminanti. Sono d'accordo sul fatto che le tracce siano lasciate e ci sono così tante variabili che non puoi tenerle tutte in considerazione (da entrambi i punti di vista attaccante e forense), lasciando così tracce per l'analisi forense in un caso o potendo hackerare un sistema nell'altro. Il fatto è che non puoi indagare su un evento se non l'hai notato. Quei gruppi di cui parli per il tuo secondo collegamento sono stati notati, ma per quanto riguarda gli individui, le istituzioni dei governi che non lo erano? non lo sapremo mai. Prendi l'uovo di cuculo come ...
Ad esempio, quell'hacker è stato notato perché alcuni centesimi in alcuni account non corrispondevano. Un tecnico preoccupato ha iniziato a indagare e si è ritrovato con una macchina hackerata, ma che dire di quelle macchine con quell'incoerenza dell'account che potrebbe essere stata ignorata? che dire di quelle macchine che non si sono mai accorte di un hack? non puoi indagare perché non è stato notato.
@YoMismo, è in realtà un argomento con cui ho passato molto tempo alle prese, ma su questa domanda sta virando molto lontano. C'è una buona nuova domanda di alto livello lì dentro: come affrontare gli "sconosciuti sconosciuti", come ha detto Rumsfeld.
TheHidden
2015-10-27 16:39:23 UTC
view on stackexchange narkive permalink

Lavorando nel settore della tecnologia, come lo farei sarebbe il seguente:

  1. Trova l'hack, il buco, il punto debole.

  2. Controlla syslog, dmesg, access.log e error.log per confermare la tesi. (quando si entra in una rete normalmente si ha l'interruzione del sistema, nel caso di TalkTalk si trattava di un'iniezione di MySQL, fare ciò avrebbe lasciato degli errori nel registro di mysql.err in quanto per irrompere è necessario interromperlo.)

  3. Replicare l'hack, replicare l'hack ti permetterà di vedere quanto può andare in profondità l'hack e di stimare i danni.

Se trovi il buco, puoi replicare l'attacco, replicare l'attacco e vedrai cosa ha visto l'attaccante.

Questa risposta è una buona aggiunta alle altre risposte, poiché indica che un "hack" in generale non dà pieno accesso a un sistema, ma il più delle volte è una perdita in una parte specifica del sistema.
Perché non hai usato un elenco numerato? (puoi sostituire `,` con `.` per farlo)
perché non volevo.
Non penso che questo sia accurato. In primo luogo con "MySQL injection", presumo che tu intenda solo "SQL Injection", non è una vulnerabilità limitata a MySQL. In secondo luogo, non penso che ci sarebbe necessariamente alcuna traccia nel log degli errori del database, se il mio attacco injection è quello di cambiare: ... dove userId = '123' in ... dove userId = '' o 1 = 1 questo è SQL perfettamente valido e il database non lo identificherebbe come un errore.
@DaveyDaveDave Ho detto MySQL perché uso database MySQL è solo un'abitudine scriverlo, ma sì, hai ragione. in secondo luogo si presume che sia stata una manipolazione dei dati piuttosto che un'iniezione. Dubito molto che avessero un'istruzione sql così piccola da non aver causato un errore, specialmente nel riferimento del talk talk. per ottenere il tipo di informazioni fornite dall'hacker avrebbe dovuto essere un numero di istruzioni sql e molto probabilmente l'ha concluso con; - ma qualsiasi altra cosa oltre a questo molto probabilmente avrebbe generato un errore. Posso passarti a un bel gioco se vuoi provarlo.
@DaveyDaveDave ha anche dimenticato di menzionare, un ottimo modo per ottenere uno schema di tabelle è rompere il codice di proposito, inoltre dubito che la prima iniezione abbia funzionato per prima. Se volessi entrare in un database SQL, proverei prima a trovare una mappa in modo da poter prendere le porte corrette.
@silverpenguin: punti ragionevoli, ma tutto quello che stavo cercando di mostrare è che la tua affermazione generale "per irrompere devi romperla", non è necessariamente vera.
I server SQL @DaveDaveDave in genere registrano le query effettuate sul database. È abbastanza facile trovare quella query che include `o 1 = 1` nella stringa di query, perché non è qualcosa che una normale query SQL utilizzerebbe nella maggior parte dei casi (almeno nella mia mente avrebbe impostato dei campanelli di avvertimento). Come minimo, le analisi forensi semplici possono dirci quali query insolite sono state eseguite, specialmente se la maggior parte delle query utilizza istruzioni di binding, e quindi costituirebbe la maggior parte di tutte le query eseguite.
David Scholefield
2015-10-27 16:59:29 UTC
view on stackexchange narkive permalink

Oltre all'eccellente risposta su Forensics (e commenti) alcune organizzazioni utilizzano sistemi di rilevamento delle intrusioni come "Snort" (rilevamento delle intrusioni di rete) e OSSEC (sistema di rilevamento basato su host), nonché molti altri di fornitori come Cisco, ecc. . che registrano vari aspetti di comportamenti insoliti o non autorizzati.

Ad esempio, i sistemi di rilevamento delle intrusioni basati su host spesso registrano le modifiche ai file sui server in modo che un'indagine forense possa mostrare quali file sono stati modificati entro un determinato periodo e un esame forense investigatore può utilizzarlo per mettere insieme le attività di alcuni utenti o aggressori.

Gli aggressori lasceranno anche tracce nei log di tutta l'infrastruttura, dai log del firewall, ai log del server, ai log dei servizi (web, smtp ecc.) e questi possono fornire indizi vitali. Tuttavia, è possibile che gli aggressori modifichino questi registri a meno che non siano stati progettati per essere sicuri e inalterabili, ad es. centralizzando i registri su un supporto di sola scrittura.

Una volta che un utente malintenzionato ottiene un accesso privilegiato, i guanti vengono tolti e i registri possono essere manomessi o eliminati.

Alla fine si baserà sulla disponibilità, indipendentemente dal fatto che l'organizzazione si sia preparata per le intrusioni e l'esercizio forense che seguirà. Questo dovrebbe far parte della pianificazione della sicurezza di ogni azienda.

Dipenderà anche dal fatto che l'aggressore rilevi / conosca ogni registro.
@DanHenderson ma come fai a sapere la differenza tra un registro non trovato e un registro falso piantato?
Perché hai bisogno di un modo per assicurarti che i log non possano essere manomessi (o almeno richiedere collusione per farlo). Il modo migliore per ottenere ciò è scrivere i registri su un supporto di scrittura una sola volta (nei sistemi * nix è possibile montare un'unità come "solo aggiunta") o scrivere su un server di registro sicuro e centralizzato.
@JamesRyan un registro trovato e falsificato concorderà con gli altri registri trovati e falsificati. Un registro non trovato contraddice i registri falsificati.
Dave
2015-10-28 04:35:29 UTC
view on stackexchange narkive permalink

Non l'ho ancora visto menzionato ed è probabilmente una risorsa importante per un'indagine di questo tipo, soprattutto per quanto riguarda l'accesso ai dati:

L'audit RDBMS può essere una delle principali risorsa per determinare esattamente a quali dati si è avuto accesso, quando e da chi. Questo ovviamente dipende da come o se è stato configurato.

Ad esempio, SQL Server Audit consente il recupero di ID utente, timestamp e le query effettive inviate a il server consentendo così la completa ricostruzione del set di dati rubato.

I sistemi di controllo dovrebbero avere ridondanze incorporate per prevenire la manomissione della traccia di controllo. Alcuni di questi possono essere memorizzati nell'RDBMS e alcuni possono essere scritti su sorgenti esterne. SQL Server può registrare i controlli nel registro di protezione di Windows.

Sevaara
2015-10-27 16:56:41 UTC
view on stackexchange narkive permalink

gowenfawr ha menzionato le analisi forensi del sistema, ma l'identificazione dell'asset compromesso viene quasi sempre effettuata tramite i log. I log / dovrebbero / indicare sempre la risorsa compromessa se si esegue una ricerca abbastanza approfondita. Che tu abbia un IDS che rileva accessi esterni / tentativi di bruteforce / tentativi di iniezione SQL o se cerchi manualmente nei log ciò che ho appena menzionato, ci sono diversi modi per portare una violazione alla tua attenzione.

Una volta che l'asset è stato identificato, è possibile iniziare l'esame forense dell'asset. Principalmente per informazioni aggiuntive che i registri potrebbero non riportare, soprattutto se sembra che un file sia stato eliminato per mantenere l'accesso per l'attaccante. Lo scraping della memoria e l'analisi passo dopo passo di ciò che fa il file rilasciato aiuteranno il team di sicurezza / IR a comprendere cosa sta succedendo, come si è verificato inizialmente la compromissione, la vulnerabilità utilizzata e potenzialmente la fonte dell'attacco ( la vera fonte).

user45139
2015-10-27 16:59:10 UTC
view on stackexchange narkive permalink

Possono controllare diverse cose che posso menzionare a caso:

  • Syslog
  • Log del firewall
  • Log di IDS e router
  • File system
  • Eventi
  • Attività pianificate
Lightness Races in Orbit
2015-10-28 05:48:25 UTC
view on stackexchange narkive permalink

Se qualcuno fosse entrato in casa tua usando una chiave rubata e non avesse rubato nulla, come lo sapresti? Spesso lo faresti. Pensa a come i modi in cui rileveresti l'evento. Potrebbe essere sciocco come una lettera aperta sul piano di lavoro della cucina che non ricordi di aver letto. Non c'è praticamente alcuna distinzione qui. È utile trovare segni di graffio sulla serratura dai primi dieci tentativi di accesso prima che il ladro determinasse finalmente quale chiave era effettivamente tua (leggi: registri di sicurezza).

di cosa stai parlando?
@Begueradj: È un'analogia abbastanza chiara. Con quale parte hai problemi?
per esempio la parte della cucina. Stiamo parlando di medicina legale. Forse non hai capito la domanda?
@Begueradj: L'ho capito perfettamente, grazie mille. La medicina legale può essere modellata per il laico come analogo al modo in cui un proprietario di casa esamina la sua proprietà per segni di danni / perdite che potrebbero non essere evidenti all'esterno senza tale attività. L'OP stava apparentemente considerando solo il caso in cui il divano e la TV mancassero e quindi non riusciva a pensare a come rilevare forme più sottili di furto / infiltrazione. Ciò ha portato alla pubblicazione di questa domanda e, in definitiva, a questa risposta. Fammi sapere se hai altre domande.
"Analogy" crea una relazione tra 2 idee. Questa non è un'analogia: sono i puntini di sospensione.
@schroeder: No, è un'analogia.
@Begueradj: La domanda non richiede risposte forensi e, in base alla mia esperienza (che va da 3 negozi uomo e "leader del settore"), la medicina legale è tipicamente un termine di cui nessuno in azienda ha mai sentito parlare, tranne che sono fan di CSI.
@schroeder Non ho mai letto _ellipsis_ usato in alcun senso, nemmeno lontanamente come questo, e la mia ricerca non trova alcuna definizione correlata. Sarebbe stato utile includere una citazione per quelli di noi il cui inglese apparentemente manca.
Petah
2015-10-28 15:33:40 UTC
view on stackexchange narkive permalink

In termini di ciò che è stato preso, piuttosto che di come, le aziende e le agenzie più grandi utilizzano l'ispezione approfondita dei pacchetti per registrare ciò che è stato trasferito in / out dalla loro rete.

I dispositivi registrano tutto il traffico e possono utilizzarlo IDS per gli avvisi. Dopo che si verifica un incidente, possono analizzare l'entità dell'attacco.

Alcuni strumenti standard del settore comuni per questo sono:

Ian Ringrose
2015-10-29 01:36:58 UTC
view on stackexchange narkive permalink

Nel caso di Talk Talk, sappiamo che i dati rubati vengono utilizzati per prendere di mira le persone.

  • Sappiamo che queste persone vengono telefonate da qualcuno che afferma di appartenere a Talk Talk e poi indotte con l'inganno a fornire le loro coordinate bancarie.
  • Sappiamo che le coordinate bancarie smettono di essere utili dopo un breve periodo di tempo se si sa che sono stati violati.
  • Sappiamo quindi che i dettagli bancari compromessi verrebbero utilizzati RAPIDAMENTE se presi da TalkTalk.
  • Pertanto è ragionevole presumere che i dettagli bancari non erano nei dati che sono stati rilevati.

Ci sono MOLTI controlli da parte delle banche britanniche ecc. per vedere quale sia l'impatto, questo monitoraggio raccoglierà abbastanza casi, insieme a casi segnalati da clienti bancari, per dare un buon ideale dell'impatto ormai.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...