När ett företag upptäcker att ett intrång skett i deras nätverk har intrånget för det mesta pågått under en längre tid, skriver IDG News. De flesta intrången utmärks även av en kombination av flera metoder för att ta sig in. Därför är det viktigt att så snabbt som möjligt, helst kontinuerligt, undersöka många olika aspekter av nätverkstrafiken. Här är elva tips om saker att titta närmare på.
Tips 1: Leta efter konstiga mönster i dns-trafiken
Dns-trafiken glöms ofta bort, men kan ge nyttig information. Konstiga mönster i dns-trafiken kan signalera att något är på gång.
Tips 2: Kolla loggar för autentisiering mellan värddatorer
Om någon försöker autentisiera (logga in) sig på en värddator från en annan värddator och datorn som autentisieringen sker för bara kontrolleras på domännivå så kan det vara fara å färde. I det läget är det viktigt att kontrollera vilka verktyg inkräktarna använder, som Psexec eller Mimkatz, och leta efter trafik som hör till dem. Sådana verktyg används ofta för att ta sig in i klientdatorer via kommunikation mellan värddatorer.
Tips 3: Leta efter användarinformation på webben
Kontrollera om det finns information om företagets användare på webbsajter som det går att lagra text på, så kallade pastebin. Om det finns sådan är det troligt att det finns någon på företaget som läcker information. Ändra lösenord och fundera på att införa en mer avancerad lösning för inloggning.
Tips 4: Kontrollera dataflöden runt viktiga resurser
En illasinnad inkräktare försöker troligtvis stjäla stora mängder data under en kort tid. Genom att övervaka trafik till och från viktiga resurser går det att upptäcka sådana försök.
Tips 5: Kontrollera inloggningar från olika datorer till molntjänster för lagring
Leta efter användare som loggar in till flera klientdatorer från ett enda användarkonto, för att sedan synka data från dem till en molntjänst som Dropbox. Om inte sådana aktiviteter analyseras är det lätt att missta trafiken de genererar för normal användning.
Tips 6: Använd falska användaruppgifter som lockbete
Många inkräktare rör sig runt i ett nätverk och letar efter nya användaruppgifter som de kan använda för att komma åt data. Genom att skapa falska användare och ha filer utan viktig information som lockbete går det att upptäcka om de falska användaruppgifterna används, vilket inte borde ske.
Tips 7: Leta efter saker som inte längre finns
De som stjäl data internt försöker ofta dölja sina spår genom att ta bort resurser de använt. Leta efter registernycklar, tjänster och andra objekt som har använts på en dator men inte längre finns kvar. Det kan vara ett tecken på olämpliga aktiviteter.
Läs också: Storbankerna pressas av hackare. Därför har de svårt att skydda sig mot ddos-attacker.
Tips 8: Koppla klientloggar till Active Directory-loggar
Om en användare under lång tid bara använt tre eller fyra resurser i ett nätverk och börjar använda många fler under en kort tid kan det vara ett tecken på att någon anställd försöker stjäla data. Loggarna från Active Directory bör samköras med loggarna från klientenheterna, eftersom de senare innehåller information som inte syns med Active Directory.
Tips 9: Leta efter första förekomsten av en händelse
Om en helt ny händelse i nätverket inträffar kan det vara starten på ett intrång. Ett exempel är att falska användare skapas som utför helt nya aktiviteter.
Tips 10: Leta efter ej godkända verktyg
I många företags nätverks används fem eller flera verktyg för fjärråtkomst, vilket är konstigt. De flesta företag försöker nog hålla sig till ett eller två verktyg för fjärråtkomst. Om många verktyg används kan det vara ett tecken på intrångsförsök.
Tips 11: Analysera skadlig mjukvara innan du raderar den
När skadlig mjukvara upptäcks är den självklara åtgärden att få bort den, och radera den, och skapa nya konfigurationer utan den. Men skadlig mjukvara är kan vara ett tecken på att ett intrångsförsök har inletts. Analyser av skadlig mjukvara kan ge kunskap om eventuella intrångsförsök.
Den här artikeln är tidigare publicerad i juni 2018.
Läs också: Google inför stopp för tvåfaktors-autentisering över telefon
