Кибер-мир вступил в новую эру, когда атаки становятся все более частыми и масштабными, чем когда-либо прежде. В последнее время в новостях преобладали массовые взломы, затрагивающие тысячи высокопоставленных американских компаний и агентств. Главными из них являются декабрьский сбой SolarWinds / FireEye и более поздние Microsoft Взлом сервера Exchange. Все хотят знать: что делать, если вы пострадали от взлома биржи?
Чтобы ответить на этот вопрос и сравнить философию безопасности, мы обрисовали в общих чертах, что мы будем делать — бок о бок. Один из нас — профессиональный злоумышленник (Дэвид Вулпофф), а другой — директор по информационной безопасности с опытом защиты компаний в сфере здравоохранения и безопасности (Аарон Фосдик).
Не ждите, пока ваша группа реагирования на инциденты примет на себя основной удар кибератаки на вашу организацию.
Директор по информационной безопасности Аарон Фосдик
1. Сделайте резервную копию вашей системы.
После взлома вашего почтового сервера хакер, скорее всего, нападет на вас с помощью программ-вымогателей. Так что полагайтесь на свои резервные копии, конфигурации и т. Д. Делайте резервные копии всего, что вы можете. Но вернемся к примеру до взлома. Создавайте резервные копии, исходя из предположения, что злоумышленник попытается их удалить. Не используйте свои обычные учетные данные администратора для шифрования резервных копий и убедитесь, что ваши учетные записи администратора не могут удалять или изменять резервные копии после их создания. Ваша цель резервного копирования не должна быть частью вашего домена.
2. Предположите компромисс и при необходимости прекратите подключение.
Определите, если и где вы были скомпрометированы. Осмотрите свои системы криминалистически, чтобы увидеть, используют ли какие-либо системы вашу поверхность в качестве точки запуска и пытаются ли оттуда переместиться в сторону. Если ваш сервер Exchange действительно скомпрометирован, вы должны как можно скорее отключить его от сети. Отключите внешнее подключение к Интернету, чтобы убедиться, что они не могут перехватывать какие-либо данные или связываться с другими системами в сети, именно так злоумышленники перемещаются вбок.