随着谷歌和其他公司被黑客攻击的消息传出,我想知道公司首先如何发现、检测和/或知道他们已经被黑客攻击了?
当然,如果他们在用户的计算机上发现病毒/木马,或者发现系统中通常流量不大的部分访问率很高,那么他们就会受到攻击。但是,从我所看到的文章来看,这次攻击相当“复杂”,所以我无法想象黑客会如此明显地暴露他们的攻击行为。
也许有人可以告诉我当前的检测方案/启发式方法。谢谢。
答案1
他们通常会寻找微妙的法医线索;比如他们的主页被改为一条横幅,上面写着“被 TeH L33t Krew 攻击了!!haahah1h1!!你们这些菜鸟”
答案2
答案3
他们不知道是否做得好,或者他们是否缺乏内部技能和实践。为了发现黑客攻击已经发生,需要实施一些措施(我这里没有详尽介绍),例如审计文件更改、收集 IDS 日志和使用多个主机相关性进行深入分析。
此外,一个下定决心的人在收集尽可能多的有关目标的信息后,肯定会首先尝试使用社会工程学,因为用户通常是安全链中最薄弱的环节。
答案4
如何检测它在很大程度上取决于你正在提供什么服务。作为我们备份系统的一部分,我有一个脚本,它将我们公司的网站镜像到内部服务器,只传输已更改的内容。最后,脚本会解析日志以查找任何更改、添加或删除,如果发现任何更改,就会向我发送电子邮件。这样,即使变化不明显,我也会(应该?)发现它。当然,脚本位于内部服务器上,而不是 Web 服务器上。