Die Reaktion auf einen Serverangriff erfordert einen Schichtansatz, der Eindämmung und Untersuchung priorisiert. Hier ist eine Aufschlüsselung von Aktionen, die für Klarheit kategorisiert sind:
Sofortige Aktionen (innerhalb von Minuten):
* Isolieren Sie den Server: Dies ist der wichtigste Schritt. Trennen Sie den Server vom Netzwerk, um weitere Schäden und laterale Bewegungen zu anderen Systemen zu verhindern. Dies kann das physische Zug der Netzwerkkabel oder das Deaktivieren der Netzwerkschnittstelle des virtuellen Maschine beinhalten. Erwägen Sie, den Server vollständig zu schalten, wenn Isolation nicht sofort möglich ist.
* Netzwerkverkehr überwachen: Verwenden Sie die Netzwerküberwachungstools, um den Angriffsverkehr zu beobachten, die Quelle (en) zu identifizieren und den Angriffsvektor (en) zu verstehen. Diese Informationen sind für die zukünftige Analyse und Prävention von entscheidender Bedeutung.
* Alles log alles: Stellen Sie sicher, dass Sie alle relevanten Protokolle aus den Systemen Server, Netzwerkgeräte und Sicherheitsinformationen und Event Management (SIEM) erfassen. Diese detaillierte Aufzeichnung ist für die Analyse und Forensik nach der Nachkundung von unschätzbarem Wert.
* Warnen Sie Ihr Sicherheitsteam/Incident -Antwort -Team: Benachrichtigen Sie sofort das entsprechende Personal. Versuchen Sie nicht, dies alleine zu bewältigen. Eine koordinierte Reaktion ist unerlässlich.
Untersuchungsmaßnahmen (innerhalb von Stunden):
* Bestimmen Sie die Art des Angriffs: War es ein DDOS-Angriff, ein Brute-Force-Anmeldebericht, eine SQL-Injektion, eine Malware-Infektion oder etwas anderes? Kennen Sie die Angriffstypen die nächsten Schritte.
* Identifizieren Sie den Angriffsvektor: Wie haben die Angreifer Zugang erhalten? War es durch eine Verwundbarkeit, ein schwaches Passwort, eine Phishing -Kampagne oder eine beeinträchtigte Anmeldeinformationen?
* Analysieren Sie Protokolle und Netzwerkverkehr: Ein tiefes Eintauchen in die gesammelten Protokolle und den Netzwerkverkehr erfasst die Aktionen des Angreifers, die betroffenen Systeme und das Ausmaß des Kompromisses.
* Malware -Scan: Wenn Sie eine Malware -Infektion vermuten, führen Sie einen gründlichen Scan des betroffenen Servers und möglicherweise andere verbundene Systeme aus.
Sanierungsmaßnahmen (innerhalb von Tagen/Wochen):
* Patch -Schwachstellen: Besprechen Sie alle bekannten Schwachstellen, die während des Angriffs ausgenutzt wurden. Stellen Sie sicher, dass Ihre Systeme mit den neuesten Sicherheitspatches auf dem neuesten Stand sind.
* Passwörter ändern: Ändern Sie alle mit dem gefährdeten Server und alle zugehörigen Konten verbundenen Passwörter. Verwenden Sie starke, eindeutige Passwörter.
* Sicherheitsrichtlinien und -verfahren überprüfen: Identifizieren Sie Schwächen in Ihrer Sicherheitshaltung, die es dem Angriff ermöglichten. Stärken Sie Zugriffskontrollen, implementieren Sie die Multi-Factor-Authentifizierung (MFA) und verbessern Sie das Schulungsbewusstsein für Ihre Benutzer.
* Forensische Analyse (falls erforderlich): Verpfändet einen forensischen Experten, um einen tiefen Eintauchen in das System auszuführen, um das Ausmaß des Datenverlusts zu ermitteln, und sammeln Beweise für rechtliche oder Versicherungszwecke.
* von Backup wiederherstellen: Stellen Sie den Server von einer vor dem Angriff ergriffenen sauberen Sicherung wieder her und stellen Sie sicher, dass die Sicherung selbst nicht beeinträchtigt wurde.
* Vorbeugende Maßnahmen implementieren: Implementieren Sie Intrusion Detection/Prevention Systems (IDS/IPS), Web Application Firewalls (WAFS) und andere Sicherheitsmaßnahmen, um zukünftige Angriffe zu verhindern.
Wichtige Überlegungen:
* rechtliche und behördliche Einhaltung: Verstehen Sie Ihre rechtlichen und behördlichen Verpflichtungen zu Datenverletzungen und Sicherheitsvorfällen. Nach Bedarf betroffene Parteien benachrichtigen.
* Kommunikation: Halten Sie die Interessengruppen über die Situation und den Fortschritt der Antwort auf dem Laufenden.
* Dokumentation: Behalten Sie eine gründliche Dokumentation des gesamten Vorfalls -Reaktionsprozesses auf, einschließlich der Zeitleiste, der ergriffenen Maßnahmen und der gewonnenen Erkenntnisse.
Dies ist keine umfassende Liste, und die spezifischen Schritte variieren je nach Art des Angriffs und den Ressourcen und der Infrastruktur Ihres Unternehmens. Der Schlüssel ist, schnell, entschlossen und methodisch zu handeln. Denken Sie daran, zuerst die Containment, dann die Untersuchung und schließlich zur Sanierung und Prävention zu priorisieren.