Bien que la réponse puisse dépendre grandement de l'agence que vous essayez d'informer, je pense qu'en général, vous devriez. En fait, puisque surveiller et répondre à la boîte aux lettres d'abus pour notre organisation est l'une de mes tâches principales, je peux dire positivement: «Oui, s'il vous plaît!». J'ai eu cette même conversation avec des membres d'autres organisations de sécurité et les réponses semblaient largement consister en:
- Si les informations whois sur l'IP indiquent une entreprise ou une université, signalez
- Si les informations whois sur l'IP indiquent un FAI, alors ne vous embêtez pas
Bien sûr, je ne vous dirai pas de suivre ces règles, mais je recommanderais de pécher par excès de rapport. Cela ne prend généralement pas beaucoup d'efforts et peut vraiment aider les gars de l'autre côté. Leur raisonnement était que les FAI ne sont pas souvent en position de prendre des mesures significatives, ils classeront donc les informations. Je peux dire que nous allons poursuivre activement cette affaire. Nous n'apprécions pas les machines piratées sur notre réseau, car elles ont tendance à se propager.
Le vrai truc est de formaliser votre réponse et votre procédure de reporting afin qu'elle soit cohérente entre les rapports, ainsi qu'entre le personnel. Nous voulons, au minimum, ce qui suit:
- Adresse IP du système attaquant
- Horodatage (y compris le fuseau horaire) de l'événement
- Les adresses IP des systèmes de votre côté
Si vous pouvez également inclure un échantillon des messages de journal qui vous ont informé, cela peut également être utile.
Normalement, lorsque nous constatons ce type de comportement, nous instituons également des blocs de pare-feu de la portée la plus appropriée à l'emplacement le plus approprié. Les définitions de appropriées vont dépendre de manière significative de ce qui se passe, du type d'entreprise dans laquelle vous vous trouvez et de l'apparence de votre infrastructure. Cela peut aller du blocage de la seule IP attaquante à l'hôte, jusqu'à la non routage de cet ASN à la frontière.