¿Cómo sabe una empresa que sus sistemas han sido pirateados?

Tenga cuidado de sacar el informe de Verizon fuera de contexto. Aquí es donde Verizon ha sido llamado a investigar, sus datos pueden no ser una muestra verdaderamente representativa de todos los incidentes de seguridad a nivel mundial.

Puede que esté pasado de moda, pero hay algunas cosas llamadas sistemas de monitoreo y personas que los monitorean. Una buena práctica es tener sistemas de detección como sistemas de detección de intrusiones (IDS), antimalware, sistemas de prevención de pérdida de datos (DLP), así como registros del sistema desde plataformas, bases de datos, aplicaciones, dispositivos de red, todos alimentando una información central de seguridad y gestión de eventos (SIEM) los sistemas que son monitoreados por un Centro de Operaciones de Seguridad (SOC) idealmente las 24 horas del día, los 7 días de la semana. El monitoreo de conexiones de Internet salientes inusuales desde puntos finales (generalmente a centros de comando y control) y transferencias de datos habituales es un muy buen indicador de un incidente .

Ha trabajado durante años, pero siempre hay margen de mejora:
http://www.rakkhis.com/2010/10/i…

Las empresas además de su seguridad pueden detectar ataques en curso o signos de un ataque, por ejemplo, escaneo de puertos, grandes cantidades de intentos fallidos de inicio de sesión y prevenir un ataque antes de que provoque una violación. Un buen ejemplo de esto es Lastpass, que tomó medidas realmente conservadoras cuando detectaron una transferencia de datos inusual desde sus servidores: http://blog.lastpass.com/2011/05…

La importancia de las personas competentes y los excelentes procedimientos ensayados no pueden exagerarse en relación con la tecnología efectiva. Por ejemplo, RSA que no detectó el ataque a pesar de tener algunos software DLP y SIEM líderes en el mercado: http://www.rakkhis.com/2011/04/r…

¿Cuáles son algunos casos famosos de piratería informática?

¿Qué conocimiento tienen la mayoría de los hackers?

¿El hackeo es ético y cómo ser un hacker?

¿Cuáles son algunos buenos libros que no contienen información desactualizada sobre piratería informática (el lado ofensivo)?

¿Por qué PayPal nunca fue pirateado en su historia? ¿Qué tipo de modelo de seguridad están empleando para proteger sus datos y proporcionar seguridad financiera?

¿Qué características puedo agregar en mi sitio web para evitar la piratería?

Como con todo lo relacionado con la seguridad: depende.

Una organización puede detectar un compromiso por cualquiera de los siguientes:

Sistema IDS / IPS (host o red)
Netflow, análisis sFlow
Análisis de registro, monitoreo
Un administrador del sistema / administrador de red observador (algo se desvía de la línea de base)
Notificación externa o alertas de monitoreo externo
Auditorias
Detectan las consecuencias de un hack (la base de datos está repentinamente vacía)
Chantaje (interno o externo)

Etc, etc. También depende del tamaño de la organización. Una empresa más pequeña o una organización que no tiene infraestructura o personal de seguridad (piense en el pequeño distrito escolar K12) puede que nunca encuentre el truco o nunca sepa que su máquina ha sido propiedad. Una organización muy grande tendrá un NOC / SOC (centro de operaciones de red / seguridad) que está monitoreando 24/7. Probablemente tengan muchas más posibilidades de encontrar algo. Por otra parte, hemos visto muchos ejemplos de una organización ENORME que falta algo durante meses.
Entonces … “depende”. 😉

Daniel Miller

Según el Informe de investigaciones de violación de datos de Verizon ( http://www.verizonbusiness.com/g …), en 2010, el 86% de las violaciones de datos fueron descubiertas por alguien fuera de la organización pirateada. La mayoría de esos casos involucraron la detección de fraudes de terceros (como bancos que buscan transacciones anómalas en tarjetas de crédito robadas) o la notificación por parte de la policía de una violación.

Solo el 6% de las infracciones investigadas fueron descubiertas por procesos internos destinados a descubrir piratas informáticos: controles de detección de fraude, auditorías de seguridad, antivirus y similares. El otro 5% de las infracciones descubiertas internamente se descubrió por accidente: los sistemas informáticos se “portaron mal”, el robo atestiguado por otro empleado u otras indicaciones de que algo simplemente no está bien.

Rakkhi Samarasekera

More Interesting

¿Cómo se ve el lugar de trabajo de un hacker profesional en las fotos?

Complementos de Firefox: ¿Cuáles son buenos complementos para Internet y la seguridad informática?

¿Por qué los sitios web con una longitud máxima de caracteres para las contraseñas no siempre restringen la longitud del campo de entrada a su máximo?

¿Podría un grupo bien financiado de piratas informáticos encontrar una manera de robar todos los bitcoins existentes?

¿Qué tipo de acción legal se puede tomar contra los acosadores cibernéticos?

¿Por qué los piratas informáticos obtienen sentencias de prisión tan ridículamente largas mientras que los estafadores y delincuentes no electrónicos obtienen sentencias mucho más cortas por delitos similares?

¿Cuánto tiempo llevaría descifrar el cifrado FileVault 2 de Apple?

¿Qué es el phishing?

¿Qué hace exactamente el programa Paterva / Maltego?

Piratería informática (seguridad): ¿cómo calculan los piratas informáticos la secuencia de las series de aplicaciones?