Хотя ответ может сильно зависеть от агентства, которое вы пытаетесь сообщить, я считаю, что в целом вы должны. На самом деле, поскольку мониторинг и реагирование на почтовый ящик для злоупотреблений в нашей организации является одной из моих основных рабочих обязанностей, я могу с уверенностью сказать: «Да, пожалуйста!». У меня был тот же самый разговор с членами других организаций безопасности, и ответы, казалось, в основном состояли из:
- Если информация whois об IP показывает бизнес или университет, то сообщите
- Если информация whois на IP показывает провайдера, не беспокойтесь
Я, конечно, не буду говорить вам , чтобы следовать этим правилам, но я бы рекомендовал заблудших на стороне отчетности. Обычно это не требует больших усилий и может реально помочь ребятам на другом конце. Их аргументация заключалась в том, что интернет-провайдеры не всегда могут принимать значимые меры, поэтому они будут хранить информацию. Могу сказать, что мы будем настойчиво заниматься этим вопросом. Мы не ценим взломанные машины в нашей сети, поскольку они имеют тенденцию к распространению.
Реальный трюк состоит в том, чтобы формализовать ваш ответ и процедуру отчетности, чтобы она могла быть согласованной между отчетами, а также между сотрудниками. Мы хотим, как минимум, следующее:
- IP-адрес атакующей системы
- Отметка времени (включая часовой пояс) события
- IP-адреса систем на вашем конце
Если вы также можете включить образец сообщений журнала, которые предупредили вас, это также может быть полезно.
Обычно, когда мы видим такое поведение, мы также устанавливаем блоки межсетевого экрана с наиболее подходящей областью действия в наиболее подходящем месте. Соответствующие определения будут в значительной степени зависеть от того, что происходит, в каком бизнесе вы находитесь, и как выглядит ваша инфраструктура. Он может варьироваться от блокирования одного атакующего IP на хосте, вплоть до того, чтобы не маршрутизировать этот ASN на границе.