1. 推测：他们希望雇用具有以下经验的人：

   • OSSEC（基于主机的 IDS）
   • Tripwire 和 Samhain（文件完整性）
   • Splunk（日志聚合、报告和警报）
   • 纳吉奥斯
   • 防火墙和威胁管理
   • grsecurity/pax/suhosin 等
   • Nmap、BackTrack 和 Metasploit（主动安全工具）

   当外围被破坏时，他们的监控和系统管理工作。

2. 假设一个最小权限模型，非管理帐户访问他们无权访问的表/数据（记录违规）；或与“已知良好”模式不匹配的查询（自适应或异常检测）；或匹配“已知不良”模式（SELECT * FROM USERS）的查询，即基于签名的 IDS；或非典型系统负载模式；或每次查询的非典型数据量。

3. DLP，即金丝雀值或可疑值的出站内容过滤/检查（经典案例是作为有效信用卡号或 SS 号的字符串）

它很可能是由某种 IDS 检测到的（毕竟这是它的工作），或者通过手动日志检查。此行为可能会引发警报：

• 如果在常规计划之外进行了数据库转储。
• 从不寻常的 IP 登录。
• 在不寻常的时间登录。
• 不寻常的流量高峰。
• 通过记录网络流量——例如，可以检查数据包中的数据库信息，这些信息永远不会离开服务器。
• 执行他们通常不执行或无权执行的操作的帐户。
• 真的有任何不寻常的行为。

在 IDS 标记操作后，将执行手动检查，其紧迫性取决于 IDS 如何对其进行分类。

您可以尝试通过实施上述方案来防止未经授权的访问。