Hoy en día es común oír como cualquier empresa sufrió de una brecha de seguridad. Adicional a esto, hay toda una filosofía en crecimiento que promueve la postura de que todos los servidores que están en la red han sido intervenidos y basado en eso, los administradores de seguridad deben de buscar evidencias de brechas o accesos ilícitos.
Cualquiera que sea el caso, los equipos violentados generalmente presentan ciertos síntomas que permiten a los administradores darse cuenta de dicha penetración.
A continuación algunos de los comportamientos más comunes:
Tráfico de red inusual al internet.
Casi siempre los equipos que de alguna forma fueron hackeados tienen un malware instalado. Este programa levanta una serie de procesos, que buscan comunicarse con la persona o el equipo que lo controla desde el exterior, por lo que es fácil ver una gran cantidad de paquetes saliendo.
Esto descarta por completo el paradigma de solo vigilar el tráfico entrante.
Comportamientos extraños en los accesos con privilegios.
Comúnmente, una persona externa que logra llegar al equipo tratará de alguna manera de tener acceso a las cuentas con “súper permisos” de la red. La captura de estos privilegios puede significar la ejecución de una serie de acciones sin ninguna restricción.
Conexiones desde puntos geográficos desconocidos.
Paralelamente con el monitoreo del tráfico saliendo, es importante tener en cuenta desde donde estamos siendo accesados. Aunque actualmente hay una fuerte tendencia al uso de las fuerzas de trabajo remotas, los administradores de seguridad deben de estar atentos a conexiones externas que no hagan sentido o que estén seguros que no poseen empleados en esas regiones geográficas.
Logins fallidos.
Antes de que cualquier ataque se declare exitoso, siempre hay varios intentos fallidos. Con las herramientas disponibles actualmente, es fácil hacer pruebas de ensayo y error usando listados de usuarios y passwords. En ese sentido es imperante vigilar los logs de accesos y tomar las medidas que se consideren pertinentes.
Picos en las base de datos.
Cuando la incursión fue hecha lo que se quiere es información. Llegado a este punto, el atacante tratará de todas maneras de sacar toda la información posible de las base de datos, lo que disparará los parámetros normales de lectura de la misma.
Cambios en el sistema operativo.
Es muy probable que la persona que haya violentado el sistema, quiera asegurarse de volver a entrar otra vez. Esto lo hace modificando el registry (windows) o algunos archivos de configuración (otros O.S.), con valores que normalmente no estaban allí con nuestra instalación.
Anomalías de DNS.
El problema más grande con el tráfico de DNS no es precisamente la resolución de nombres, sino, que es el puerto preferido de todo aquel que instala un malware o que compromete un equipo con una botnet. Esto se debe a que es más difícil de detectar y detener por los administradores de seguridad, ya que los mismos solo ven requests comunes al puerto 53.
Para más información sobre estos y otros comportamientos favor dirigirse a: Darkreading.com.