Rilevare cambiamenti sospetti in rete

March 15, 2016

I cambiamenti all'interno di una rete complessa sono numerosi e di difficile gestione: avere una policy e delle procedure rigorose (e seguite) di change management sicuramente aiuta ma non basta. Si avverte sempre di più la necessità di rilevare potenziali problemi attraverso un attento monitoraggio.

 

Business as usual: rilevare cambiamenti che si discostano sensibilmente dal normale comportamento della rete

 

Patch-related changes: rilevare aggiornamenti non previsti

 

Authorized changes: rilevare cambiamenti di configurazione non autorizzati

 

CyberCrime rules: rilevare le attività che tipicamente sono correlate ad azioni di hacking, come ad esempio la sostituzione di dll, l'aggiunta di un task allo scheduler, il cambio di permessi ad un file di sistema, il cambiamento di configurazione di un dns, l'aggunta di un nuovo utente in un sistema critico, etc...

 

Indicators of compromise: mantenere costantemente aggiornato il sistema di regole di filtraggio inserendo hash di malware, indirizzi di command&control server, etc...

 

 

Articolo: The State of Security Newsletter

Please reload

Post in evidenza

I'm busy working on my blog posts. Watch this space!

Please reload

Post recenti
Please reload

Archivio
Please reload

Cerca per tag