Esto es básicamente todo el campo de detección, el subconjunto de seguridad cibernética en el que trabaja mi equipo. El objetivo es identificar cuándo un atacante ha comprometido activos como computadoras o cuentas en nuestra red. No es fácil.
El punto de partida es el monitoreo. Observamos registros de actividad de computadoras y sistemas individuales y de dispositivos de monitoreo de red como Intrusion Detection Systems (IDS). En estos registros buscamos patrones específicos que indican actividad sospechosa. Algunos patrones son obsequios muertos. Por ejemplo, el exploit Heartbleed requiere un patrón muy inusual que no se encuentra en el uso normal. Otros patrones son menos seguros. Por ejemplo, una pieza típica de malware cambia a menudo, por lo que debe buscar algún patrón que parezca tener, pero a veces ese patrón no es lo suficientemente general y puede perderse cosas, y otras veces es demasiado general y marca el uso normal. tan sospechoso Una de las habilidades clave en la detección es refinar estos patrones de detección para producir los resultados positivos más verdaderos con la menor cantidad de falsos positivos.
Una vez que haya identificado un patrón que indica un posible compromiso de un activo, debe confirmar o rechazar ese compromiso. Esta también es una habilidad clave en la detección. Algunas cosas que puedes hacer son:
- ¿Qué es el virus Coingeek en Windows? ¿Como funciona?
- ¿De qué maneras somos susceptibles a las violaciones de seguridad?
- ¿Es Linux 100% seguro o puede verse comprometido como cualquier otro sistema operativo?
- ¿Cuáles son algunos problemas de seguridad con WebSockets?
- ¿Qué es el ransomware GoldenEye?
- Mire otros patrones predefinidos como signos de que el activo puede estar comprometido
- Vea si a la máquina le faltan parches o si ha sido identificada como un riesgo de seguridad
- Vea si la actividad de la cuenta coincide con la otra actividad del usuario. Si trabajan en California y hay un inicio de sesión desde India, es sospechoso, pero podría ser solo un viaje.
- Observe la actividad de red de la máquina y vea si hay algo sospechoso, como un escaneo de puertos.
- Mire el historial de inicio de sesión y vea si hay inicios de sesión remotos inesperados, como una cuenta de usuario aparentemente no relacionada que inicia sesión de forma remota.
Un analista analiza muchas de estas cosas para tratar de identificar si la máquina está comprometida o no. Este proceso es ayudado por herramientas automatizadas. Algunas de estas herramientas capturan el estado de la máquina para que podamos analizarla sin preocuparnos por el cambio de datos o el apagado de la máquina.
En Google, nuestros ingenieros dedican gran parte de su tiempo a automatizar estas actividades para eliminar el trabajo manual y reducir la tasa de errores humanos. Las empresas con menos recursos pueden utilizar software de código abierto comercial o gratuito de pago para este propósito. Muchos hackers individuales ejecutan parte del software de código abierto en casa.
Otro truco simple utilizado por piratas informáticos individuales es hacer todo dentro de una máquina virtual y con frecuencia borrar la VM y comenzar una nueva.