公司如何知道他们已被黑客入侵?

公司如何知道他们已被黑客入侵?

随着谷歌和其他公司被黑客攻击的消息传出,我想知道公司首先如何发现、检测和/或知道他们已经被黑客攻击了?

当然,如果他们在用户的计算机上发现病毒/木马,或者发现系统中通常流量不大的部分访问率很高,那么他们就会受到攻击。但是,从我所看到的文章来看,这次攻击相当“复杂”,所以我无法想象黑客会如此明显地暴露他们的攻击行为。

也许有人可以告诉我当前的检测方案/启发式方法。谢谢。

答案1

他们通常会寻找微妙的法医线索;比如他们的主页被改为一条横幅,上面写着“被 TeH L33t Krew 攻击了!!haahah1h1!!你们这些菜鸟”

答案2

成功的黑客攻击是未被发现的黑客攻击;)

系统管理员可以设置蜜罐,即虚拟计算机,用来欺骗黑客,使其认为它们是具有真实数据的真实系统。在蜜罐中,所有活动都受到监控,黑客的行为也受到研究,以帮助进一步了解黑客或病毒的企图,从而帮助安全专家找出如何防止未来的入侵。

他们还可以使用自动入侵检测系统帮助他们检测可疑活动

答案3

他们不知道是否做得好,或者他们是否缺乏内部技能和实践。为了发现黑客攻击已经发生,需要实施一些措施(我这里没有详尽介绍),例如审计文件更改、收集 IDS 日志和使用多个主机相关性进行深入分析。

此外,一个下定决心的人在收集尽可能多的有关目标的信息后,肯定会首先尝试使用社会工程学,因为用户通常是安全链中最薄弱的环节。

答案4

如何检测它在很大程度上取决于你正在提供什么服务。作为我们备份系统的一部分,我有一个脚本,它将我们公司的网站镜像到内部服务器,只传输已更改的内容。最后,脚本会解析日志以查找任何更改、添加或删除,如果发现任何更改,就会向我发送电子邮件。这样,即使变化不明显,我也会(应该?)发现它。当然,脚本位于内部服务器上,而不是 Web 服务器上。

相关内容