Sementara jawabannya dapat sangat bergantung pada agensi yang ingin Anda informasikan, saya percaya bahwa secara umum Anda harus memberi tahu. Bahkan, karena memantau dan merespons kotak surat penyalahgunaan untuk organisasi kami adalah salah satu tugas utama saya, saya dapat dengan positif mengatakan, 'Ya, Tolong!'. Saya melakukan percakapan yang sama dengan anggota organisasi keamanan lainnya dan jawabannya sebagian besar terdiri dari:
- Jika informasi whois pada IP menunjukkan bisnis atau universitas, maka laporkan
- Jika informasi whois pada IP menunjukkan ISP, maka jangan repot-repot
Saya, tentu saja, tidak akan meminta Anda untuk mengikuti aturan itu, tetapi saya akan merekomendasikan kesalahan di sisi pelaporan. Biasanya tidak butuh banyak usaha, dan benar - benar dapat membantu orang-orang di ujung sana. Alasan mereka adalah bahwa ISP tidak sering berada dalam posisi untuk mengambil tindakan yang berarti, sehingga mereka akan menyimpan informasi tersebut. Saya dapat mengatakan bahwa kami akan secara agresif mengejar masalah ini. Kami tidak menghargai mesin yang diretas di jaringan kami, karena mereka cenderung menyebar.
Trik sebenarnya adalah memformalkan respons Anda dan prosedur pelaporan sehingga dapat konsisten di antara laporan, dan juga antara staf. Kami ingin, minimal, yang berikut:
- Alamat IP sistem serangan
- Cap waktu (termasuk zona waktu) acara
- Alamat IP sistem di pihak Anda
Jika Anda juga bisa memasukkan contoh pesan log yang memberi tahu Anda, itu juga bisa berguna.
Biasanya, ketika kita melihat perilaku semacam ini, kita juga membuat blok firewall dari ruang lingkup yang paling tepat di lokasi yang paling tepat. Definisi yang sesuai akan sangat tergantung pada apa yang terjadi, seperti apa bisnis Anda, dan seperti apa infrastruktur Anda. Mulai dari memblokir IP serangan tunggal di tuan rumah, sampai tidak merute ASN di perbatasan.