Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
Okamžité akcie (v priebehu niekoľkých minút):
* Izolujte server: Toto je najdôležitejší krok. Odpojte server zo siete, aby ste zabránili ďalšiemu poškodeniu a bočnému pohybu iným systémom. To by mohlo zahŕňať fyzické odpojenie sieťového kábla alebo deaktiváciu sieťového rozhrania virtuálneho počítača. Zvážte úplne vypnutie servera, ak izolácia nie je okamžite možná.
* Monitorujte sieťovú prevádzku: Používajte nástroje na monitorovanie siete na pozorovanie prenosu útoku, identifikáciu zdrojov (zdrojov) a porozumenie vektorom útoku. Tieto informácie sú rozhodujúce pre budúcu analýzu a prevenciu.
* log všetko: Uistite sa, že zachytávate všetky relevantné protokoly zo servera, sieťových zariadení a bezpečnostných informácií a správy udalostí (SIEM). Tento podrobný záznam bude neoceniteľný pre analýzu a forenznú analýzu po náhode.
* Varujte tímu bezpečnostného tímu/tímu reakcie na incidenty: Okamžite informujte príslušného personálu. Nesnažte sa to zvládnuť sám; Koordinovaná reakcia je nevyhnutná.
Vyšetrovacie akcie (v priebehu niekoľkých hodín):
* Určte typ útoku: Bol to útok DDOS, pokus o prihlasovanie Brute-Force, vstrekovanie SQL, infekcia škodlivého softvéru alebo niečo iné? Poznanie typu útoku vedie ďalšie kroky.
* Identifikujte vektor útoku: Ako získali útočníci prístup? Bolo to prostredníctvom zraniteľnosti, slabého hesla, phishingovej kampane alebo ohrozených poverení?
* Analyzujte protokoly a sieťový prenos: Hlboký ponor do zozbieraných protokolov a zachytenie sieťových prenosov, aby sa určili akcie útočníka, postihnuté systémy a rozsah kompromisu.
* SKENÁLO: Ak máte podozrenie, že infekcia škodlivého softvéru spustite dôkladné skenovanie postihnutého servera a potenciálne iných pripojených systémov.
Nápravné akcie (v priebehu dní/týždňov):
* Patch Zraniteľnosti: Riešiť všetky známe zraniteľné miesta využité počas útoku. Uistite sa, že vaše systémy sú aktuálne s najnovšími bezpečnostnými záplatmi.
* Zmeňte heslá: Zmeňte všetky heslá spojené s ohrozeným serverom a všetky súvisiace účty. Používajte silné a jedinečné heslá.
* Preskúmajte bezpečnostné politiky a postupy: Identifikujte slabiny vo vašej bezpečnostnej držaní, ktoré umožnili útok. Posilňujte ovládacie prvky prístupu, implementujte multifaktorové autentifikáciu (MFA) a zlepšujte školenie o bezpečnostnej informovanosti pre svojich používateľov.
* Forenzná analýza (ak je to potrebné): Zapojte forenzného odborníka na vykonanie hlbokého ponoru do systému s cieľom identifikovať rozsah straty údajov a zhromaždiť dôkazy na právne alebo poistné účely.
* Obnoviť zo zálohy: Obnovte server z čistého zálohovania vykonaného pred útokom, zaistite, že samotná záloha nebola ohrozená.
* Implementovať preventívne opatrenia: Implementovať systémy detekcie/prevencie vniknutia (IDS/IPS), firewalls webových aplikácií (WAF) a ďalšie bezpečnostné opatrenia na zabránenie budúcim útokom.
Dôležité úvahy:
* Právne a regulačné dodržiavanie: Pochopte svoje právne a regulačné povinnosti týkajúce sa porušenia údajov a bezpečnostných incidentov. Podľa potreby upozornite postihnuté strany.
* komunikácia: Držte zainteresované strany informované o situácii a pokroku reakcie.
* Dokumentácia: Udržujte dôkladnú dokumentáciu o celom procese odozvy incidentu vrátane časovej osi, prijatých akcií a získaných ponaučení.
Toto nie je vyčerpávajúci zoznam a konkrétne kroky sa budú líšiť v závislosti od povahy útoku a zdrojov a infraštruktúry vašej organizácie. Kľúčom je konať rýchlo, rozhodne a metodicky. Nezabudnite najskôr uprednostniť zadržiavanie, potom vyšetrovanie a nakoniec sanáciu a prevenciu.