Rilevare cambiamenti sospetti in rete

I cambiamenti all'interno di una rete complessa sono numerosi e di difficile gestione: avere una policy e delle procedure rigorose (e seguite) di change management sicuramente aiuta ma non basta. Si avverte sempre di più la necessità di rilevare potenziali problemi attraverso un attento monitoraggio.

Business as usual: rilevare cambiamenti che si discostano sensibilmente dal normale comportamento della rete

Patch-related changes: rilevare aggiornamenti non previsti

Authorized changes: rilevare cambiamenti di configurazione non autorizzati

CyberCrime rules: rilevare le attività che tipicamente sono correlate ad azioni di hacking, come ad esempio la sostituzione di dll, l'aggiunta di un task allo scheduler, il cambio di permessi ad un file di sistema, il cambiamento di configurazione di un dns, l'aggunta di un nuovo utente in un sistema critico, etc...

Indicators of compromise: mantenere costantemente aggiornato il sistema di regole di filtraggio inserendo hash di malware, indirizzi di command&control server, etc...