Security
我應該報告黑客攻擊嗎?
我正在執行一個小型(基於 Windows)的伺服器。當我檢查日誌時,我看到了源源不斷的(不成功的)密碼猜測黑客攻擊嘗試。我是否應該嘗試向源 IP 地址的所有者報告這些嘗試,或者這些嘗試現在是否被認為是完全正常的,無論如何沒有人會費心對它們做任何事情?
雖然答案在很大程度上取決於您試圖通知的機構,但我相信總的來說您應該這樣做。事實上,由於監控和響應我們組織的濫用郵箱是我的主要工作職責之一,我可以肯定地說,“是的,請!”。我與其他安全組織的成員進行了同樣的對話,答案似乎主要包括:
- 如果 IP 上的 whois 資訊顯示企業或大學,則報告
- 如果 IP 上的 whois 資訊顯示為 ISP,則不要打擾
當然,我不會告訴你遵守這些規則,但我建議在報告方面犯錯。通常不需要太多努力,並且可以真正幫助另一端的人。他們的理由是 ISP 通常不會採取有意義的行動,因此他們會將資訊歸檔。我可以說,我們將積極追究此事。我們不喜歡我們網路上的被黑機器,因為它們有傳播的趨勢。
真正的訣竅是使您的響應和報告程序正式化,以便在報告之間以及員工之間保持一致。我們至少需要以下內容:
- 攻擊系統的IP地址
- 事件的時間戳(包括時區)
- 您端系統的 IP 地址
如果您還可以包含提示您的日誌消息範例,那也很有用。
通常,當我們看到這種行為時,我們也會在最合適的位置設置最合適範圍的防火牆塊。適當的定義將在很大程度上取決於正在發生的事情、您從事的業務類型以及您的基礎架構是什麼樣的。它的範圍可能從阻止主機上的單個攻擊 IP,一直到不在邊界路由該 ASN。