Άμεσες ενέργειες (μέσα σε λίγα λεπτά):
* απομονώστε τον διακομιστή: Αυτό είναι το πιο κρίσιμο βήμα. Αποσυνδέστε το διακομιστή από το δίκτυο για να αποφύγετε περαιτέρω ζημιές και πλευρική κίνηση σε άλλα συστήματα. Αυτό μπορεί να περιλαμβάνει φυσικά αποσύνδεση του καλωδίου δικτύου ή απενεργοποίηση της διεπαφής δικτύου της εικονικής μηχανής. Εξετάστε το ενδεχόμενο να κλείσετε τον διακομιστή εξ ολοκλήρου εάν η απομόνωση δεν είναι άμεσα δυνατή.
* Παρακολούθηση της κυκλοφορίας δικτύου: Χρησιμοποιήστε εργαλεία παρακολούθησης δικτύου για να παρατηρήσετε την κυκλοφορία επίθεσης, να προσδιορίσετε τις πηγές και να κατανοήσετε το διάνυσμα επίθεσης. Αυτές οι πληροφορίες είναι κρίσιμες για τη μελλοντική ανάλυση και πρόληψη.
* καταγράψτε τα πάντα: Βεβαιωθείτε ότι καταγράφετε όλα τα σχετικά αρχεία καταγραφής από τα συστήματα διακομιστών, συσκευών δικτύου και πληροφοριών ασφαλείας και διαχείρισης συμβάντων (SIEM). Αυτό το λεπτομερές αρχείο θα είναι ανεκτίμητο για την ανάλυση και την εγκληματολογία μετά την εκδήλωση.
* Ειδοποίηση της ομάδας ασφαλείας/ομάδας απάντησης συμβάντων: Ειδοποιήστε αμέσως το κατάλληλο προσωπικό. Μην προσπαθήσετε να το χειριστείτε μόνο αυτό. Μια συντονισμένη απάντηση είναι απαραίτητη.
Ερευνητικές ενέργειες (εντός ωρών):
* Προσδιορίστε τον τύπο της επίθεσης: Ήταν μια επίθεση DDOS, προσπάθεια σύνδεσης βίαιης δύναμης, έγχυση SQL, λοίμωξη κακόβουλου λογισμικού ή κάτι άλλο; Η γνώση του τύπου επίθεσης καθοδηγεί τα επόμενα βήματα.
* Προσδιορίστε το διάνυσμα επίθεσης: Πώς κέρδισαν οι επιτιθέμενοι πρόσβαση; Ήταν μέσω ευπάθειας, αδύναμης κωδικού πρόσβασης, εκστρατείας ηλεκτρονικού "ψαρέματος" ή συμβιβασμένων διαπιστευτηρίων;
* Αναλύστε τα αρχεία καταγραφής και την κυκλοφορία δικτύου: Η βαθιά κατάδυση στα συλλεγόμενα αρχεία καταγραφής και η κυκλοφορία δικτύου συλλαμβάνει για να εντοπίσουν τις ενέργειες του εισβολέα, τα συστήματα που επηρεάζονται και την έκταση του συμβιβασμού.
* Σάρωση κακόβουλου λογισμικού: Εάν υποψιάζεστε μια λοίμωξη κακόβουλου λογισμικού, εκτελέστε μια διεξοδική σάρωση του επηρεαζόμενου διακομιστή και ενδεχομένως άλλων συνδεδεμένων συστημάτων.
Ενέργειες αποκατάστασης (εντός ημερών/εβδομάδων):
* Ταλλωμάτων Patch: Αντιμετωπίστε τυχόν γνωστά τρωτά σημεία που εκμεταλλεύονται κατά τη διάρκεια της επίθεσης. Βεβαιωθείτε ότι τα συστήματά σας είναι ενημερωμένα με τα τελευταία μπαλώματα ασφαλείας.
* Αλλαγή κωδικών πρόσβασης: Αλλάξτε όλους τους κωδικούς πρόσβασης που σχετίζονται με τον συμβιβασμένο διακομιστή και τους σχετικούς λογαριασμούς. Χρησιμοποιήστε ισχυρούς, μοναδικούς κωδικούς πρόσβασης.
* Αναθεώρηση πολιτικών και διαδικασιών ασφαλείας: Προσδιορίστε τις αδυναμίες στη στάση σας ασφαλείας που επέτρεψαν την εμφάνιση της επίθεσης. Ενίσχυση των ελέγχων πρόσβασης, εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) και βελτιώστε την κατάρτιση για την ευαισθητοποίηση της ασφάλειας για τους χρήστες σας.
* Ιατροδικαστική ανάλυση (εάν είναι απαραίτητο): Συμμετείχε σε έναν εγκληματολογικό εμπειρογνώμονα για να εκτελέσει μια βαθιά κατάδυση στο σύστημα για να προσδιορίσει την έκταση της απώλειας δεδομένων και να συγκεντρώσει αποδεικτικά στοιχεία για νομικούς ή ασφαλιστικούς σκοπούς.
* Επαναφορά από το αντίγραφο ασφαλείας: Επαναφέρετε τον διακομιστή από ένα καθαρό αντίγραφο ασφαλείας πριν από την επίθεση, εξασφαλίζοντας ότι το ίδιο το αντίγραφο ασφαλείας δεν παραβιαζόταν.
* Εφαρμογή προληπτικών μέτρων: Εφαρμογή συστημάτων ανίχνευσης/πρόληψης εισβολής (IDS/IPS), τείχη προστασίας εφαρμογών ιστού (WAFS) και άλλα μέτρα ασφαλείας για την πρόληψη μελλοντικών επιθέσεων.
Σημαντικές εκτιμήσεις:
* Νομική και κανονιστική συμμόρφωση: Κατανοήστε τις νομικές και κανονιστικές σας υποχρεώσεις όσον αφορά τις παραβιάσεις των δεδομένων και τα περιστατικά ασφαλείας. Ειδοποιήστε τα επηρεαζόμενα μέρη όπως απαιτείται.
* Επικοινωνία: Ενημερώστε τους ενδιαφερόμενους για την κατάσταση και την πρόοδο της αντίδρασης.
* Τεκμηρίωση: Διατηρήστε διεξοδική τεκμηρίωση ολόκληρης της διαδικασίας απόκρισης περιστατικών, συμπεριλαμβανομένου του χρονοδιαγράμματος, των ενεργειών που λαμβάνονται και των διδάγματα που αντλήθηκαν.
Αυτό δεν είναι ένας εξαντλητικός κατάλογος και τα συγκεκριμένα βήματα θα διαφέρουν ανάλογα με τη φύση της επίθεσης και των πόρων και της υποδομής του οργανισμού σας. Το κλειδί είναι να ενεργήσετε γρήγορα, αποφασιστικά και μεθοδικά. Θυμηθείτε να δώσετε προτεραιότητα στην Πρώτα περιορισμό, στη συνέχεια στη διερεύνηση και τελικά στην αποκατάσταση και την πρόληψη.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα