хакеры зашифровали сервер что делать
Что делать если ваш сервер взломал хакер, зашифровал все. А все копии тоже хранились на этом же сервере?
Всем привет! Недавно меня позвали в коммерческую компанию в качестве ИТ эксперта, чтобы разобраться в ситуации. Рано утром, примерно в 4 утра, их сервер взломал хакер и зашифровал на нем все данные. Копии 1С делались, но они хранились на этом же сервере. Естественно они так же были зашифрованы. Выходит, что данные потеряны навсегда…
Что делать?
Ситуация безвыходная. Нужно вспомнить может быть 1С программист копировал к себе на ноутбук базу перед обновление. Естественно через операцию восстановления данных проверить, вероятность почту нулевая, но все же. И если ничего нет, остается единственный вариант – писать хакеру естественно. Нужно установить контакт, узнать, сколько они хотят за расшифровку.
Им пришел ответ 0,2 btc – в биткоинах конечно. На июнь 2018 это примерно 100 000руб, плюс комиссия обменников, итого около 115 000руб.
Не дешево правда, но информация стоит дороже. Кому платить и кто виноват? Разговор сейчас не об этом. Я расскажу, как можно получить дешифратор значительно дешевле. Раз в 10. Не факт что это сработает у вас, но в моем случае вышло. Дешифратор был получен за 10 000руб., которые пришлось оплатить хакеру. Взамен был получен дешифратор и все удачно расшифровали.
Как договориться заплатить в 10 раз меньше, чем просит хакер?
Торговаться, конечно. Умело, настойчиво, без грубостей и давлением на жалость.
Первое, стоит завести новую почту и с нее вести переписку. А лучше сразу два адреса, с разными именами. Имя лучше взять женское.
Далее отправляем первое сообщение узнать сколько хотят. Скорее всего на английском языке. Если у вас с английским не очень, пользуйтесь google translate – это онлайн переводчик. Не волнуйтесь за качество перевода. Чаще всего, хакеры не являются носителями английского. Как правило, хакеры указывают, что можно прислать им два файла для расшифровки, чтобы доказать что дешифратор у них есть.
Лучше всего прислать 2 фотографии, то есть два зашифрованных файла jpeg. Почему? Во первых, чтобы убедиться что дешифратор у них действительно есть. Во вторых, фотографии косвенно покажут, что у вас ценное – это фото, а не базы 1С.
Дальше, нужно давит на жалость. Придумайте правдоподобную историю. Например что Вы девушка студентка, сирота, росли без отца и матери, воспитывались бабушкой, работаете мерчендайзером и зашифрованы оказались ваши фотографии с выкладкой продукции. И что Вам повторно придется объезжать 30 магазинов, чтобы все заново отснять. И что в вашем городе зарплаты около 12000руб в месяц.
Они снизят цену, но не сильно. Вы снова на жалость. Скажите, что можете отправить максимум 10’000руб, и то для этого придется занять у сестры. Можно пожаловаться на жизнь, сказать, что если не получиться расшифровать эти фотографии шеф тот еще урод вас уволит и т.д.
В общем, все зависит от вашей способности войти в роль. Надеюсь, Вам это поможет сбить цену.
@ На последок
Ну а после того как все расшифруете, обязательно пригласите эксперта по ИТ, информационной безопасности. Чтобы закрыть все дыры и настроить правильное резервное копирование с изоляцией по непопулярному протоколу, желательно с шифрованием.
Шияпов Рамиль, владелец Antivirus-Shop24 и IT аутсорсинговой компании IT SPEC.
ИТ эксперт, эксперт в области информационной безопасности
Какие действия предпринять, когда компанию атаковали хакеры
Ведущий инженер техподдержки ESET в России и СНГ
В середине марта всемирно известный производитель компьютерной техники Acer подвергся хакерскому нападению группировки REvil: на корпоративный сервер подселили одноименный вирус-вымогатель, который позволил получить доступ к конфиденциальной информации.
Выполнять ли требования вымогателей, надеясь на их «порядочность», или идти на принцип и мириться с потерей конфиденциальных данных — личный выбор владельца бизнеса. Однозначно одно: атака, даже успешная, требует четких и быстрых действий. Каких именно — рассказал Валентин Поляков, ведущий инженер техподдержки ESET в России и СНГ.
Чего следует опасаться
Качество кибератак постоянно растет: преступники совершенствуют свои методы, пишут новые вирусы, находят слабые места в системах защиты. При этом виды угроз, с которыми чаще всего сталкивается бизнес, не меняются.
При фишинговой атаке сотрудники получают письмо с «официального» адреса известной компании, которая обманом заставляет получателей перейти по вредоносной ссылке, чтобы после украсть личную информацию пользователей. Программы в этом случае могут использовать разные.
Одна из самых опасных — вирус-вымогатель, с которым столкнулись уже упомянутые Acer и Apple. Вирус считывает и шифрует данные с серверов компании. Дальше работает сценарий двойного шантажа: сначала хакеры просят выкуп за возобновления доступа к зашифрованным данным, затем шантажируют вероятностью «слива информации».
Так и получилось с чертежами Apple: данные были похищены с сервера тайваньской компании Quanta Computer. Платить Quanta отказалась, поэтому в день презентации нового ноутбука REvil опубликовала в даркнете подробные чертежи устройства. Теперь хакеры ведут переговоры напрямую с Apple и угрожают в случае неуплаты продолжить «слив».
Кстати, история эта еще может иметь продолжение: помимо Apple Quanta Computer сотрудничает с Dell, Amazon, Lenovo и Sony, и вполне вероятно, что и их данные тоже были похищены.
Еще один популярный вариант киберугрозы, основанный на социальной инженерии, — ВЕС-атака, или компрометация деловой переписки. В этом случае злоумышленники от имени непосредственного или вышестоящего руководителя в электронной почте дают распоряжение перевести деньги на определенный счет, который на самом деле принадлежит преступникам.
По-прежнему используются старые-добрые DDoS-атаки. Существенное замедление работы сайта или даже полная ее остановка несет многомиллионные убытки компаниям, чей бизнес завязан на онлайн-продажах. В этом случае хакеры как могут воспользоваться «падением» сайта для кражи информации, так и требовать выкуп за быстрое возобновление работы.
Что делать, если кибератака состоялась
Есть действия, которые необходимо совершить вне зависимости от того, с каким конкретным видом атаки столкнулась ваша компания. Причем чем быстрее, тем лучше: рефлексию лучше оставить на потом. Скорость реакции важна, чтобы избежать заражения по цепочке внутри корпоративной сети, а также, чтобы действовать коллегиально: чаще всего нападения происходят сразу на несколько компаний.
Шаг 1
Выявите и изолируйте зараженные компьютеры от корпоративной сети. Для этого проверьте логи антивирусов (файл с записями о событиях в хронологическом порядке), после чего отключите зараженные машины от сети.
Также обратите внимание на расширения ваших персональных файлов: если они изменились или вместо них появилось множество других с неизвестными именами, то компьютер заражен.
Шаг 2
Постарайтесь определить первоисточник заражения и уязвимость, которую использовали злоумышленники. Чаще всего источником заражения становятся письма со спамом, зараженные съемные носители, установка вместе с другим программным обеспечением и взломанные или скомпрометированные веб-страницы.
Разобраться, что именно послужило отправной точкой, поможет аудит изменения зашифрованных файлов, чтобы понять, с какого компьютера они шифровались. Однако этот способ работает только при условии, что аудит был заблаговременно включен системным администратором.
Выявить причины помогут и специальные организации, которые проводят расследования подобных инцидентов, или — в минимальном объеме — специалисты технической поддержки антивируса, который использовался в компании.
Шаг 3
Обратитесь за помощью в организацию, специализирующуюся на информационной безопасности: компетенции IT-департамента может не хватить, а время будет упущено.
Шаг 4
Примите все возможные меры по устранению уязвимости и усилению защитных мер, проведите аудит безопасности и выявите другие возможные бреши в защите:
Шаг 5
Обратитесь с заявлением в правоохранительные органы, а лучше сразу в подразделение «К» МВД России, борющееся с преступлениями в сфере информационных технологий. В заявлении нужно отметить, что против вас совершено противоправное действие, в котором могут присутствовать признаки преступлений, предусмотренных статьями 159.6, 163, 272, 273 УК РФ.
Будьте готовы к тому, что устройство могут изъять для экспертизы, чтобы обнаружить и зафиксировать следы вредоносной программы. При этом заранее подготовьте основную информацию о том, когда был обнаружен инцидент, кто имел доступ к компьютеру, а также о последнем установленном ПО и истории посещения сайтов. В случае хищения денежных средств подготовьте выписку из банка, детализацию расходов и др.
Платить или не платить?
Если злоумышленники требуют выкуп, оцените, насколько серьезный ущерб нанесен, какие именно данные были скомпрометированы или зашифрованы, какую ценность они представляют. Если речь идет о шифровании важной информации злоумышленниками с последующим требованием выкупа за расшифровку, стоит выяснить, по силам ли антивирусным системам выполнить дешифровку данных без уплаты выкупа и в какие сроки эта работа может быть выполнена.
Узнайте, пострадали ли другие компании от действий той же группы злоумышленников или того же вредоносного ПО. Соберите и проанализируйте все имеющиеся на этот момент кейсы. Нужные данные, как правило, можно найти на тематических форумах, в специализированных СМИ или узнать у специалистов по информационной безопасности. Вполне возможно, что решение уже найдено.
Что касается атак, организованных с использованием методов социальной инженерии, таких как BEC, рецепт тут один: выстроить систему платежей так, чтобы перевод средств мошенникам был максимально затруднен. Например, сделать перечисления возможными, только после согласования несколькими сотрудниками, в том числе руководством после обязательной идентификации.
Атака позади. Выдыхаем?
К сожалению, с кибератаками принцип снаряда и воронки не работает. Наоборот, повторный взлом — распространенный сценарий. Так, известный вирус-вымогатель WannaCry ходил по миру несколькими волнами, атакуя компании по кругу. Россия стала одной из стран, в которой за несколько лет хождения вируса зарегистрировано наибольшее количество пострадавших. В том числе атакам подверглись Сбербанк, «МТС» и «Вымпелком».
Во-первых, любому бизнесу, даже крупному, необходимо время, чтобы полностью восстановить систему безопасности, оптимизировать защиту и найти слабые места. Этим «люфтом» могут воспользоваться уже новые хакеры.
Во-вторых, довольно часто непрошенным гостем становится та же группировка, которая обнаружила во время первой атаки не найденную службой безопасности уязвимость и использовала ее для повторного взлома.
Чтобы избежать новых атак, руководствуйтесь тремя основными принципами:
Как удалить шифровальщик и восстановить данные
Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.
Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:
1. Запустите антивирус или антивирусный сканер для удаления трояна
Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.
Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.
Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.
Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.
2. Попробуйте расшифровать файлы с помощью бесплатных утилит
Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.
“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.
Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:
Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.
Инструменты дешифрования
Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:
Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!
Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.
Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:
Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.
Если есть резервная копия: очистите систему и восстановите бэкап
Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.
Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.
Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.
Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.
Взломан сервер – что делать?
Я подозреваю, что один или несколько моих серверов взломаны хакером, вирусом или другим механизмом:
Что мне делать в первую очередь? Должен ли я по прибытии на место отключить сервер, сохранить «доказательства», есть ли другие соображения?
Как мне возобновить работу служб?
Как мне предотвратить повторение этого снова?
Есть ли лучшие практики или методики извлечения уроков из этого инцидента?
Если бы я хотел составить план реагирования на подобное, с чего бы я начал? Должно ли это быть частью моего плана аварийного восстановления и обеспечения непрерывности бизнеса?
Ответ 1
Трудно дать конкретный совет из того, что вы здесь написали, но у меня есть несколько общих советов, основанных на статье, которую я написал давным-давно, когда я еще вел свой блог.
Не паникуйте.
Прежде всего, нет никаких «быстрых решений», кроме восстановления системы из резервной копии, сделанной до вторжения, а это сопряжено как минимум с двумя проблемами.
Трудно определить, когда произошло вторжение.
Это не поможет вам закрыть «дыру», которая позволила им проникнуть в прошлый раз, и не поможет справиться с последствиями «кражи данных», которая также могла иметь место.
Этот вопрос постоянно задают жертвы хакеров, взломавших их веб-сервер. Ответы меняются очень редко, но люди продолжают задавать этот вопрос. Я не знаю точно почему. Возможно, людям просто не нравятся ответы, которые они видели в поисках помощи, или они не могут найти человека, которому они доверяют, чтобы дать совет. Или, возможно, люди ч итают ответ на этот вопрос и слишком сильно концентрируются на 5% того, почему их случай особенный и отличается от ответов, которые они могут найти в и нтернете, и пропускают 95% вопроса и ответов, где их случай почти такой же, как тот, о котором они прочитали в и нтернете.
Это подводит меня к первой важной мысли. Я действительно ценю то, что ваш случай «особенный». Я также ценю, что ваш сайт – это отражение вас и вашего бизнеса или, по крайней мере, вашей тяжелой работы на благо работодателя. Но для стороннего наблюдателя, будь то специалист по компьютерной безопасности, изучающий проблему, который пытается помочь вам, или даже сам злоумышленник, очень вероятно, что ваша проблема будет как минимум на 95% идентична всем другим случаям, которые они когда-либо рассматривали.
Не принимайте атаку близко к сердцу и не принимайте рекомендации, которые следуют здесь или которые вы получаете от других людей. Если вы читаете это после того, как стали жертвой взлома сайта, мне очень жаль, и я очень надеюсь, что вы найдете здесь что-то полезное, но сейчас не время позволять своему эго мешать вам делать то, что вам нужно.
Вы только что узнали, что ваш сервер(ы) взломали. Что делать?
Ни в коем случае не действуйте в спешке и не пытайтесь сделать вид, что ничего не произошло.
Во-первых: поймите, что катастрофа уже произошла. Сейчас не время для отрицания; сейчас время принять случившееся, реалистично отнестись к нему и предпринять шаги для преодоления последствий воздействия.
Некоторые из этих шагов будут болезненными, и (если только на вашем сайте нет копии моих данных) мне совершенно безразлично, проигнорируете вы все или некоторые из этих шагов, это ваше дело. Но если следовать им должным образом, то в конечном итоге все станет лучше. Лекарство может быть ужасным на вкус, но иногда приходится не обращать на это внимания, если вы действительно хотите, чтобы оно подействовало.
Не дайте проблеме стать хуже, чем она есть:
Первое, что вы должны сделать, – это отключить пострадавшие системы от и нтернета. Какие бы другие проблемы у вас ни возникли, если оставить систему подключенной к и нтернету, атака будет продолжаться. Я говорю об этом совершенно буквально; попросите кого-нибудь физически посетить сервер и отключить сетевые кабели, если это потребуется, но прежде чем пытаться сделать что-либо еще, отключите жертву от грабителей.
Смените все пароли для всех учетных записей на всех компьютерах, которые находятся в одной сети со взломанными системами. Нет, правда. Все учетные записи. На всех компьютерах. Да, вы правы, это может быть излишеством; с другой стороны, может и не быть. Вы ведь не знаете ни того, ни другого, не так ли?
Проверьте другие системы. Обратите особое внимание на другие службы, работающие в и нтернете, и на те, в которых хранятся финансовые или другие коммерчески важные данные.
Помните, что я говорил ранее? Плохое уже произошло. Вопрос только в том, насколько хорошо вы с этим справитесь.
Полностью осознайте проблему:
НЕ включайте пострадавшие системы в сеть до тех пор, пока этот этап не будет полностью завершен, если только вы не хотите стать тем человеком, чей пост стал переломным моментом для того, чтобы я решил написать эту статью. Я не собираюсь давать ссылку на этот пост, чтобы люди могли дешево посмеяться, но настоящая трагедия – это когда люди не учатся на своих ошибках.
Изучите «атакованные» системы, чтобы понять, как атакам удалось подорвать вашу безопасность. Приложите все усилия, чтобы выяснить, откуда «пришли» атаки, чтобы понять, какие проблемы у вас есть и какие необходимо решить, чтобы сделать вашу систему безопасной в будущем.
Снова изучите «атакованные» системы, на этот раз для того, чтобы понять, куда направлены атаки, чтобы понять, какие системы были скомпрометированы в результате. Убедитесь, что вы проследили за всеми указаниями, которые говорят о том, что скомпрометированные системы могут стать плацдармом для дальнейших атак на ваши системы.
Убедитесь, что «шлюзы», используемые во всех атаках, полностью поняты, чтобы вы могли начать закрывать их должным образом. (Например, если ваши системы были взломаны в результате атаки SQL-инъекции, то вам нужно не только закрыть конкретную ошибочную строку кода, через которую они проникли в систему, но и провести аудит всего кода, чтобы выяснить, не была ли допущена такая же ошибка в других местах).
Поймите, что атаки могут быть успешными не только из-за одного недостатка. Часто атаки удаются не за счет поиска одной серьезной ошибки в системе, а за счет объединения нескольких проблем (иногда незначительных и тривиальных сами х по себе) для компрометации системы. Например, используя атаки SQL-инъекции для отправки команд на сервер базы данных, обнаружив, что сайт/приложение, которое вы атакуете, работает в контексте административного пользователя, и использует права этой учетной записи в качестве ступеньки для компрометации других частей системы. Или, как это любят называть хакеры: «еще один день в офисе, пользуясь распространенными ошибками, которые допускают люди».
Почему бы просто не «починить» обнаруженный эксплойт или руткит и не вернуть систему в рабочее состояние?
В подобных ситуациях проблема заключается в том, что вы больше не контролируете эту систему. Это уже не ваш компьютер.
Единственный способ убедиться в том, что вы контролируете систему, – это восстановить ее. Хотя найти и исправить эксплойт, использованный для взлома системы, очень полезно, вы не можете быть уверены в том, что еще было сделано с системой после того, как злоумышленники получили контроль над ней (действительно, нередко хакеры, собирающие системы в ботнет, ставят заплатки на эксплойты, которые они использовали сами, чтобы защитить «свой» новый компьютер от других хакеров, а также устанавливают свой руткит).
Составьте план восстановления и возвращения вашего сайта в сеть и придерживайтесь его:
Никто не хочет оставаться в сети дольше, чем это необходимо. Это само собой разумеется. Если этот сайт является механизмом, приносящим доход, то давление, направленное на быстрое возвращение сайта в сеть, будет очень сильным. Даже если на кону стоит только ваша репутация или репутация вашей компании, это все равно вызовет сильное давление с целью быстрого восстановления.
Однако не поддавайтесь искушению вернуться в сеть слишком быстро. Вместо этого как можно быстрее разберитесь, что вызвало проблему, и решите ее до возвращения в сеть, иначе вы почти наверняка снова станете жертвой вторжения, и помните: «Если вас взломали один раз, это можно считать несчастьем; если сразу после этого вас взломали снова, это похоже на беспечность».
Я предполагаю, что вы поняли все проблемы, которые привели к успешному вторжению, еще до того, как приступили к этому разделу. Я не хочу преувеличивать, но если вы не сделали этого сначала, то вам действительно нужно это сделать.
Никогда не платите деньги за шантаж/защиту. Это признак легкой наживы, и вы не хотите, чтобы эта фраза когда-либо использовалась для описания вас.
Не поддавайтесь искушению вернуть тот же сервер(ы) в сеть без полной перестройки. Гораздо быстрее собрать новую сборку или «сделать чистую установку» на старом оборудовании, чем проверять каждый уголок старой системы, чтобы убедиться в ее чистоте, прежде чем снова выводить ее в сеть. Если вы не согласны с этим, то, скорее всего, вы не знаете, что на самом деле значит обеспечить полную очистку системы, или ваши процедуры развертывания веб-сайта – это сумасшедший дом. Предположительно, у вас есть резервные копии и тестовые развертывания вашего сайта, которые вы можете просто использовать для создания живого сайта, а если у вас их нет, то взлом – не самая большая ваша проблема.
Будьте очень осторожны с повторным использованием данных, которые были «живыми» в системе на момент взлома. Я не буду говорить : » Н икогда не делайте этого», потому что вы просто проигнорируете меня, но, честно говоря, я думаю, что вам нужно подумать о последствиях хранения данных, если вы знаете, что не можете гарантировать их целостность. В идеале вы должны восстановить их из резервной копии, сделанной до вторжения. Если вы не можете или не хотите этого делать, вам следует быть очень осторожными с этими данными, потому что они испорчены. Особенно следует помнить о последствиях, если эти данные принадлежат клиентам или посетителям сайта, а не непосредственно вам.
Внимательно следите за системой (системами). Вы должны решить, что в будущем будете делать это постоянно (подробнее об этом ниже), но в период, который наступит сразу после возвращения вашего сайта в сеть, проявите особую бдительность. Злоумышленники почти наверняка вернутся, и если вы сможете обнаружить их при попытке взлома, вы сможете быстро проверить, действительно ли вы закрыли все дыры, которые они использовали раньше, плюс те, которые они сделали сами, и, возможно, вы соберете полезную информацию, которую сможете передать местным правоохранительным органам.
Снижение риска в будущем.
Прежде всего необходимо понять, что безопасность – это процесс, который необходимо применять на протяжении всего жизненного цикла разработки, развертывания и поддержки системы, подключенной к и нтернету, а не что-то, что можно нанести на код несколькими слоями, как дешевую краску. Чтобы обеспечить надлежащую безопасность, сервис и приложение должны быть разработаны с самого начала с учетом этого как одной из основных целей проекта. Вы не можете устранить риск. Вы даже не должны пытаться это сделать. Однако вы должны понять, какие риски безопасности важны для вас, и понять, как управлять и снижать влияние риска, так и вероятность его возникновения.
Какие шаги вы можете предпринять, чтобы снизить вероятность успеха атаки?
Был ли недостаток, который позволил людям проникнуть на ваш сайт, известной ошибкой в коде производителя, для которой было доступно исправление? Если да, то нужно ли вам пересмотреть свой подход к исправлению приложений на серверах, выходящих в и нтернет?
Был ли дефект, позволивший людям взломать ваш сайт, неизвестной ошибкой в коде поставщика, для которой не было доступно исправление? Я, конечно, не призываю менять поставщиков всякий раз, когда что-то подобное происходит, потому что у всех есть свои проблемы, и вы исчерпаете свои платформы максимум через год, если будете использовать такой подход. Однако если система постоянно подводит вас, то вам следует либо перейти на что-то более надежное, либо, по крайней мере, перестроить свою систему таким образом, чтобы уязвимые компоненты оставались невидимы или как можно дальше от враждебных глаз.
Был ли дефект ошибкой в коде, разработанном вами (или подрядчиком, работающим на вас)? Если да, то нужно ли вам переосмыслить свой подход этому? Можно ли было обнаружить ошибку с помощью улучшенной системы тестирования или изменений в «стандарте» кодирования (например, хотя технология не является панацеей, вы можете снизить вероятность успешной атаки SQL-инъекции, используя хорошо документированные методы кодирования).
Был ли дефект вызван проблемой, связанной с тем, как был развернут сервер или прикладное программное обеспечение? Если да, то используете ли вы автоматизированные процедуры для создания и развертывания серверов, где это возможно? Это очень помогает поддерживать постоянное «базовое» состояние на всех ваших серверах, минимизируя объем пользовательской работы, которую приходится выполнять на каждом из них, и, следовательно, уменьшать возможность совершения ошибки. То же самое касается развертывания кода : если для развертывания последней версии вашего веб-приложения требуется выполнить что-то «особенное», постарайтесь автоматизировать это и обеспечить последовательность действий.
Можно ли было обнаружить вторжение раньше при более тщательном мониторинге ваших систем? Конечно, круглосуточный мониторинг или система «по вызову» для вашего персонала могут оказаться нерентабельными, но существуют компании, которые могут контролировать ваши веб-сервисы и предупреждать вас в случае возникновения проблем. Вы можете решить, что не можете себе этого позволить или вам это не нужно, и это нормально. просто примите это во внимание.
Рассмотрите возможность найма экспертов по безопасности для регулярного «аудита» безопасности вашего сайта. Опять же, вы можете решить, что не можете себе этого позволить или вам это не нужно, и это нормально. просто примите это во внимание.
Какие шаги вы можете предпринять, чтобы уменьшить последствия успешной атаки?
Храните ли вы информацию, которую не нужно хранить? Храните ли вы такую информацию «онлайн», когда ее можно было бы заархивировать в другом месте. В этой части есть два момента: очевидный – люди не могут украсть у вас информацию, которой у вас нет, а второй – чем меньше вы храните, тем меньше вам нужно поддерживать и кодировать, а значит, меньше шансов, что в ваш код или дизайн системы закрадутся ошибки.
Используете ли вы принципы «наименьшего доступа» для своего веб-приложения? Если пользователям нужно только читать из базы данных, то убедитесь, что учетная запись, которую веб-приложение использует для ее обслуживания, имеет доступ только для чтения, не разрешайте ей доступ для записи и уж тем более доступ на уровне системы.
Если вы не очень опытны в каком-то деле и оно не является центральным для вашего бизнеса, подумайте о том, чтобы передать его на аутсорсинг. Другими словами, если вы ведете небольшой сайт, рассказывающий о написании кода настольных приложений, и решили начать продавать небольшие настольные приложения с сайта, подумайте о том, чтобы «передать» свою систему заказа кредитных карт кому-нибудь вроде Paypal.
Если это возможно, сделайте практическое восстановление скомпрометированных систем частью вашего плана аварийного восстановления. Это, вероятно, лишь еще один «сценарий катастрофы», с которым вы можете столкнуться, просто со своим собственным набором проблем и вопросов.
. И наконец
Ответ 2
Похоже, что вы немного не в себе; это нормально. Позвоните своему начальнику и начните переговоры о выделении бюджета на обеспечение безопасности в чрезвычайных ситуациях. Затем вам нужно попросить кого-нибудь (PFY, коллегу, менеджера) начать обзванивать компании, которые специализируются на реагировании на инциденты безопасности. Многие из них могут ответить в течение 24 часов, а иногда и быстрее, если у них есть офис в вашем городе.
Вам также нужен кто-то для обзвона клиентов; несомненно, кто-то уже этим занимается. Кто-то должен разговаривать с ними по телефону, чтобы объяснить, что происходит, что делается для разрешения ситуации, и ответить на их вопросы.
Затем вам нужно.
Сохранять спокойствие. Если вы отвечаете за реагирование на инцидент, ваши действия должны демонстрировать высочайший профессионализм и лидерство. Документируйте все, что вы делаете, и информируйте своего руководителя и исполнительную группу о важных действиях, которые вы предпринимаете; это включает в себя работу с группой реагирования, отключение серверов, резервное копирование данных и восстановление работоспособности. Им не нужны подробные детали, но они должны слышать от вас об этом каждые 30 минут или около того.
Будьте реалистами. Вы не профессионал в области безопасности, и есть вещи, которых вы не знаете. Это нормально. Когда вы входите на серверы и просматриваете данные, вы должны понимать свои границы. Действуйте осторожно. В ходе расследования следите за тем, чтобы не затереть жизненно важную информацию и не изменить то, что может понадобиться позже. Если вы чувствуете себя неуверенно, это хороший повод остановиться и обратиться за помощью к опытному специалисту.
Самое важное – остановить потери. Определите и перекройте доступ к скомпрометированным сервисам, данным и машинам. Желательно выдернуть сетевой кабель, а если это невозможно, то отключить питание.
Соберите все данные в отчет. На этом этапе уязвимость закрыта и у вас есть время перевести дух. Не поддавайтесь искушению пропустить этот шаг; он даже более важен, чем остальные этапы процесса. В отчете необходимо указать, что пошло не так, как отреагировала ваша команда и какие шаги вы предпринимаете для предотвращения повторения этого инцидента. Будьте максимально подробны; это нужно не только вам, но и вашему руководству, а также в качестве защиты в потенциальном судебном процессе.
Ответ 3
У CERT есть документ Steps for Recovering from a UNIX or NT System Compromise, который является хорошим руководством. Конкретные технические детали в этом документе несколько устарели, но многие общие советы по-прежнему применимы.
Краткое изложение основных шагов таково.
Проконсультируйтесь с политикой безопасности или руководством.
Отключите компьютер от сети.
Проанализируйте вторжение, просмотрите журналы, выясните, что пошло не так.
Установите чистую версию операционной системы. Если система была взломана, вы не можете ей больше доверять.
Обновите свою политику безопасности на будущее и задокументируйте ее.
Мы будем очень благодарны
если под понравившемся материалом Вы нажмёте одну из кнопок социальных сетей и поделитесь с друзьями.