ติดตั้งใหม่หลังจากการประนีประนอมราก?

58

หลังจากอ่านคำถามนี้เกี่ยวกับการประนีประนอมเซิร์ฟเวอร์ฉันเริ่มสงสัยว่าทำไมผู้คนยังคงเชื่อว่าพวกเขาสามารถกู้คืนระบบที่ถูกบุกรุกได้โดยใช้เครื่องมือตรวจจับ / ล้างข้อมูลหรือเพียงแก้ไขช่องโหว่ที่ใช้ในการประนีประนอมระบบ

ด้วยเทคโนโลยีรูทคิทต่างๆและสิ่งอื่น ๆ ที่แฮ็กเกอร์สามารถทำได้ผู้เชี่ยวชาญส่วนใหญ่แนะนำให้คุณติดตั้งระบบปฏิบัติการใหม่

ฉันหวังว่าจะได้แนวคิดที่ดีกว่าว่าทำไมผู้คนจำนวนมากไม่เพียงแค่ถอดและกำจัดระบบจากวงโคจร

นี่เป็นจุดสองสามอย่างที่ฉันอยากเห็น

  • มีเงื่อนไขที่รูปแบบ / การติดตั้งใหม่จะไม่ทำความสะอาดระบบหรือไม่?
  • คุณคิดว่าระบบสามารถทำความสะอาดภายใต้เงื่อนไขประเภทใดและเมื่อใดที่คุณต้องทำการติดตั้งใหม่ทั้งหมด
  • คุณให้เหตุผลอะไรกับการติดตั้งแบบเต็มใหม่
  • หากคุณเลือกที่จะไม่ติดตั้งใหม่คุณจะใช้วิธีการใดเพื่อมั่นใจอย่างมั่นใจว่าคุณได้ทำความสะอาดและป้องกันความเสียหายที่อาจเกิดขึ้นอีกครั้ง
hacking  security 
Zoredache
แหล่งที่มา

คำตอบ:

31

การตัดสินใจด้านความปลอดภัยนั้นเป็นการตัดสินใจทางธุรกิจเกี่ยวกับความเสี่ยงเช่นเดียวกับการตัดสินใจเกี่ยวกับผลิตภัณฑ์ที่จะออกสู่ตลาด เมื่อคุณกำหนดกรอบในบริบทนั้นการตัดสินใจที่จะไม่ปรับระดับและติดตั้งใหม่นั้นสมเหตุสมผล เมื่อคุณพิจารณาอย่างเคร่งครัดจากมุมมองทางเทคนิคก็ไม่ได้

นี่คือสิ่งที่โดยทั่วไปจะนำไปสู่การตัดสินใจทางธุรกิจ:

  • การหยุดทำงานของเราจะต้องเสียค่าใช้จ่ายเท่าไรในจำนวนที่วัดได้?
  • มันอาจจะมีค่าใช้จ่ายเราเมื่อเราต้องเปิดเผยให้กับลูกค้าสักเล็กน้อยเกี่ยวกับสาเหตุที่เราถูกลง?
  • กิจกรรมอื่น ๆ ที่ฉันจะต้องดึงคนออกไปทำติดตั้งใหม่? ค่าใช้จ่ายคืออะไร?
  • เรามีคนที่ใช่ที่รู้วิธีนำระบบมาโดยไม่มีข้อผิดพลาดหรือไม่? ถ้าไม่มันจะทำให้ฉันเสียค่าใช้จ่ายเพราะพวกเขาแก้ไขข้อผิดพลาดอะไร?

ดังนั้นเมื่อคุณบวกค่าใช้จ่ายเช่นนั้นอาจถือว่าการดำเนินการกับระบบ "ที่อาจเกิดขึ้น" ยังคงดีกว่าการติดตั้งระบบใหม่

เคไบรอันตวัด
แหล่งที่มา
1
โปรดสละเวลาสักครู่และอ่านโพสต์ที่ยอดเยี่ยมของ Richard Bejtlich ในหัวข้อ " ราคาถูกไอทีนั้นแพงที่สุด " ในการสรุป"มันไม่ถูกกว่าที่จะปล่อยให้ระบบที่ถูกบุกรุกทำงานภายในองค์กรเพราะ" ประสิทธิภาพในการทำงาน "เมื่อระบบต้องถูกขัดจังหวะ เปิดใช้การวิเคราะห์ความปลอดภัย "
Josh #
2
ฉันคิดเกี่ยวกับเรื่องนี้สักครู่และไม่สามารถหาเหตุผลได้ว่าทำไมมันจึงเหมาะสมกว่าที่จะปรับใช้ระบบที่อาจถูกบุกรุก
duffbeer703
1
ฉันไม่ต้องการปรับใช้หรือทำให้ระบบออนไลน์เป็นที่รู้จักซึ่งถูกบุกรุกเช่นกัน แต่นี่คือฉันในฐานะช่าง และฉันไม่เห็นด้วยกับ Bejtlich เกี่ยวกับเรื่องนี้เพราะในขณะที่เขาบอกว่าเป็นการออกกำลังกายเพื่อป้องกันการสูญเสียธุรกิจก็ไม่ปฏิบัติเช่นนั้น ธุรกิจมองจากมุมมองของความเสี่ยงและอย่างถูกต้อง ตัวอย่างเช่นพวกเขาอาจไว้วางใจในการประกันเพื่อครอบคลุมพวกเขาในกรณีที่มีการฟ้องร้องและนั่นคือวิธีที่พวกเขาจัดการกับความเสี่ยง และริชาร์ดไม่ได้คิดเรื่องนี้ในการโต้แย้งของเขา ฉันไม่ได้บอกว่าฉันเห็นด้วยกับความคิดนี้ แต่นั่นเป็นวิธีที่คุณเข้าใจมันซึ่งเป็นสิ่งที่ OP ถาม
K. Brian Kelley
ฉันจะไม่เห็นด้วยกับ Bejtilich ในระดับหนึ่ง แต่อย่างน้อยฉันก็พูดถึงความคิดเห็นล่าสุดของเขาเพราะมันเพิ่มมิติใหม่ให้กับการสนทนานี้: "การวัด" ความเสี่ยงเป็นเรื่องตลกการสูญเสียเป็นไปไม่ได้ (บอกฉันว่าคุณแพ้มากแค่ไหนเมื่อคู่แข่งขโมยข้อมูลของคุณเพื่อปรับปรุงผลิตภัณฑ์ของพวกเขาในอีก 10 ปีข้างหน้า) การวัดค่าใช้จ่ายคือการออกกำลังกายที่น่าจะให้ผลลัพธ์ที่น่าเชื่อถือที่สุดเพราะคุณสามารถติดตามเงินที่ออกจาก บริษัท ในโพสต์นี้ ฉันชอบที่จะวัดการสูญเสีย แต่มันจะไม่ให้ผลเป็นจำนวนจริง การวัดความเสี่ยงเป็นการคาดเดาที่ยิ่งใหญ่ "
Josh Brower
... แต่ถึงกระนั้นอุตสาหกรรมประกันภัยและระบบศาลของเราก็ขึ้นอยู่กับการวัดความเสี่ยง เห็นได้ชัดว่าวิธีการนั้นเป็นที่ยอมรับของคนที่รับผิดชอบ
Brian Knoblauch
30

จากโพสต์ที่ฉันเขียนเมื่อนานมาแล้วเมื่อฉันยังคงใส่ใจกับบล็อก

คำถามนี้ยังคงได้รับการถามซ้ำ ๆ โดยผู้ที่ตกเป็นเหยื่อของแฮ็กเกอร์เจาะเข้าไปในเว็บเซิร์ฟเวอร์ของพวกเขา คำตอบนั้นไม่ค่อยมีการเปลี่ยนแปลงมากนัก แต่ผู้คนยังคงถามคำถามต่อไป ฉันไม่แน่ใจว่าทำไม บางทีคนอาจไม่ชอบคำตอบที่พวกเขาเห็นเมื่อค้นหาความช่วยเหลือหรือพวกเขาไม่สามารถหาคนที่พวกเขาไว้ใจให้คำแนะนำ หรือบางทีคนอ่านคำตอบสำหรับคำถามนี้และให้ความสำคัญกับ 5% ของสาเหตุที่คดีของพวกเขาเป็นพิเศษและแตกต่างจากคำตอบที่พวกเขาสามารถค้นหาออนไลน์และพลาด 95% ของคำถามและคำตอบที่กรณีของพวกเขาใกล้เคียงกัน เหมือนกับที่พวกเขาอ่านออนไลน์

นั่นทำให้ฉันได้รับข้อมูลที่สำคัญอันดับแรก ฉันซาบซึ้งจริง ๆ ที่คุณเป็นเกล็ดหิมะที่ไม่เหมือนใคร ฉันขอขอบคุณที่เว็บไซต์ของคุณเป็นเหมือนภาพสะท้อนของคุณและธุรกิจของคุณหรืออย่างน้อยที่สุดการทำงานหนักของคุณในนามของนายจ้าง แต่สำหรับบุคคลภายนอกที่กำลังมองหาไม่ว่าจะเป็นคนที่รักษาความปลอดภัยของคอมพิวเตอร์ที่กำลังมองหาปัญหาเพื่อพยายามช่วยเหลือคุณหรือแม้แต่ผู้โจมตีเองก็มีโอกาสมากที่ปัญหาของคุณจะเป็นอย่างน้อย 95% ซึ่งเหมือนกับกรณีอื่น ๆ เคยดู

อย่าทำการโจมตีเป็นการส่วนตัวและอย่าทำตามคำแนะนำที่นี่หรือที่คุณได้รับจากคนอื่นเป็นการส่วนตัว หากคุณกำลังอ่านข้อความนี้หลังจากเพิ่งตกเป็นเหยื่อของการแฮ็คเว็บไซต์ฉันขอโทษจริงๆและฉันหวังว่าคุณจะพบสิ่งที่เป็นประโยชน์ที่นี่ แต่นี่ไม่ใช่เวลาที่จะให้อัตตาของคุณเข้าสู่สิ่งที่คุณต้องการ ทำ.

คุณเพิ่งพบว่าเซิร์ฟเวอร์ของคุณถูกแฮ็ก ตอนนี้คืออะไร

อย่าตกใจ. อย่ากระทำการใด ๆ ด้วยความรีบร้อนและอย่าพยายามทำสิ่งที่ไม่เคยเกิดขึ้นและไม่ทำอะไรเลย

ครั้งแรก: เข้าใจว่าภัยพิบัติได้เกิดขึ้นแล้ว นี่ไม่ใช่เวลาที่จะปฏิเสธ มันเป็นเวลาที่จะยอมรับสิ่งที่เกิดขึ้นเป็นจริงเกี่ยวกับเรื่องนี้และทำตามขั้นตอนในการจัดการผลกระทบของผลกระทบ

ขั้นตอนเหล่านี้บางขั้นตอนอาจสร้างความเสียหายและ (เว้นแต่เว็บไซต์ของคุณจะเก็บรายละเอียดของฉันไว้) ฉันไม่สนใจว่าคุณจะเพิกเฉยต่อขั้นตอนเหล่านี้ทั้งหมดหรือบางส่วน แต่การทำเช่นนั้นจะทำให้สิ่งต่าง ๆ ดีขึ้นในที่สุด ยาอาจมีรสชาติที่น่ากลัว แต่บางครั้งคุณต้องมองข้ามว่าถ้าคุณต้องการให้การรักษาทำงานจริงๆ

หยุดปัญหาไม่ให้แย่ลงไปกว่าเดิมแล้ว:

  1. สิ่งแรกที่คุณควรทำคือตัดการเชื่อมต่อระบบที่ได้รับผลกระทบจากอินเทอร์เน็ต ไม่ว่าคุณจะมีปัญหาอะไรการออกจากระบบที่เชื่อมต่อกับเว็บจะช่วยให้การโจมตีดำเนินต่อไป ฉันหมายถึงสิ่งนี้ค่อนข้างแท้จริง; พาใครบางคนไปเยี่ยมชมเซิร์ฟเวอร์และถอดสายเคเบิลเครือข่ายหากเป็นสิ่งที่ต้องใช้ แต่ให้ตัดการเชื่อมต่อกับเหยื่อจากผู้ลักลอบขนของมันก่อนที่คุณจะพยายามทำสิ่งอื่น
  2. เปลี่ยนรหัสผ่านทั้งหมดของคุณสำหรับบัญชีทั้งหมดในคอมพิวเตอร์ทุกเครื่องที่อยู่ในเครือข่ายเดียวกันกับระบบที่ถูกบุกรุก ไม่มีจริงๆ. บัญชีทั้งหมด คอมพิวเตอร์ทุกเครื่อง ใช่คุณพูดถูก ในทางกลับกันมันอาจจะไม่ คุณไม่รู้ทางใดทางหนึ่งใช่ไหม
  3. ตรวจสอบระบบอื่นของคุณ ให้ความสนใจเป็นพิเศษกับบริการอินเทอร์เน็ตอื่น ๆ และสำหรับผู้ที่เก็บข้อมูลทางการเงินหรือข้อมูลที่มีความละเอียดอ่อนในเชิงพาณิชย์
  4. หากระบบเก็บข้อมูลส่วนบุคคลของทุกคนให้เปิดเผยข้อมูลทั้งหมดอย่างตรงไปตรงมาและตรงไปตรงมากับใครก็ตามที่อาจได้รับผลกระทบในครั้งเดียว ฉันรู้ว่าอันนี้ยาก ฉันรู้ว่าอันนี้กำลังจะเจ็บ ฉันรู้ว่าธุรกิจจำนวนมากต้องการที่จะกวาดล้างปัญหาแบบนี้ใต้พรม แต่ฉันเกรงว่าคุณจะต้องจัดการกับมัน

ยังลังเลที่จะทำตามขั้นตอนสุดท้ายนี้หรือไม่? ฉันเข้าใจฉันทำ แต่ดูมันเช่นนี้

ในบางสถานที่คุณอาจมีข้อกำหนดทางกฎหมายเพื่อแจ้งเจ้าหน้าที่และ / หรือผู้ที่ตกเป็นเหยื่อของการละเมิดความเป็นส่วนตัวประเภทนี้ อย่างไรก็ตามลูกค้าของคุณอาจจะรำคาญที่จะให้คุณบอกพวกเขาเกี่ยวกับปัญหาพวกเขาจะรำคาญมากกว่าถ้าคุณไม่บอกพวกเขาและพวกเขาจะค้นพบตัวเองหลังจากที่มีคนคิดค่าสินค้ามูลค่า $ 8,000 โดยใช้รายละเอียดบัตรเครดิต ขโมยจากเว็บไซต์ของคุณ

จำสิ่งที่ฉันพูดก่อนหน้านี้? สิ่งที่ไม่ดีได้เกิดขึ้นแล้ว คำถามเดียวในตอนนี้คือคุณจัดการกับมันได้ดีแค่ไหน

ทำความเข้าใจกับปัญหาอย่างเต็มที่:

  1. อย่าทำให้ระบบที่ได้รับผลกระทบกลับสู่สถานะออนไลน์จนกว่าขั้นตอนนี้จะเสร็จสมบูรณ์เว้นแต่คุณต้องการเป็นคนที่โพสต์เป็นจุดเปลี่ยนสำหรับฉันจริง ๆ แล้วตัดสินใจที่จะเขียนบทความนี้ ฉันไม่ได้ลิงก์ไปยังโพสต์เพื่อให้คนอื่นหัวเราะได้อย่างประหยัด ฉันกำลังเชื่อมโยงเพื่อเตือนคุณถึงผลที่ตามมาจากความล้มเหลวในการทำตามขั้นตอนแรกนี้
  2. ตรวจสอบระบบ 'โจมตี' เพื่อทำความเข้าใจว่าการโจมตีสำเร็จในการลดความปลอดภัยของคุณอย่างไร ใช้ความพยายามทุกวิถีทางเพื่อค้นหาว่าการโจมตี "มาจากที่ไหน" เพื่อให้คุณเข้าใจว่าคุณมีปัญหาอะไรบ้างและต้องระบุที่อยู่เพื่อให้ระบบของคุณปลอดภัยในอนาคต
  3. ตรวจสอบระบบ 'โจมตี' อีกครั้งคราวนี้เพื่อทำความเข้าใจว่าการโจมตีไปที่ใดเพื่อให้คุณเข้าใจว่าระบบใดถูกโจมตีในการโจมตี ให้แน่ใจว่าคุณติดตามตัวชี้ที่แนะนำระบบที่ถูกบุกรุกอาจกลายเป็นกระดานกระโดดน้ำสำหรับโจมตีระบบของคุณต่อไป
  4. ตรวจสอบให้แน่ใจว่ามีการเข้าใจ "เกตเวย์" ที่ใช้ในการโจมตีใด ๆ และทั้งหมดเพื่อให้คุณสามารถปิดได้อย่างถูกต้อง (เช่นหากระบบของคุณถูกโจมตีจากการโจมตีด้วยการฉีด SQL ดังนั้นคุณไม่จำเป็นต้องปิดบรรทัดที่มีข้อบกพร่องของรหัสที่พวกเขาบุกเข้ามาคุณจะต้องตรวจสอบรหัสทั้งหมดของคุณเพื่อดูว่ามีความผิดพลาดประเภทเดียวกันหรือไม่ ถูกสร้างขึ้นที่อื่น)
  5. เข้าใจว่าการโจมตีอาจสำเร็จเนื่องจากข้อบกพร่องมากกว่าหนึ่งข้อ บ่อยครั้งที่การโจมตีไม่ประสบความสำเร็จโดยการค้นหาจุดบกพร่องสำคัญในระบบ แต่ด้วยการรวมเข้าด้วยกันหลายประเด็น ตัวอย่างเช่นการใช้การโจมตีด้วยการฉีด SQL เพื่อส่งคำสั่งไปยังเซิร์ฟเวอร์ฐานข้อมูลการค้นหาเว็บไซต์ / แอปพลิเคชันที่คุณถูกโจมตีกำลังทำงานอยู่ในบริบทของผู้ใช้ที่เป็นผู้ดูแลระบบและการใช้สิทธิ์ของบัญชีนั้นเป็นขั้นตอนสำคัญ ระบบ หรือแฮกเกอร์ต้องการเรียกมันว่า: "อีกวันหนึ่งในสำนักงานใช้ประโยชน์จากความผิดพลาดที่คนทั่วไปทำ"

วางแผนการกู้คืนและนำเว็บไซต์ของคุณกลับมาออนไลน์และติดกับ:

ไม่มีใครต้องการที่จะออฟไลน์นานกว่าที่พวกเขาจะต้อง นั่นคือที่ได้รับ หากเว็บไซต์นี้เป็นกลไกสร้างรายได้ความกดดันที่จะนำเว็บไซต์กลับมาออนไลน์อย่างรวดเร็วจะรุนแรง แม้ว่าสิ่งเดียวที่เสี่ยงคือชื่อเสียงของคุณ / บริษัท ของคุณนี้จะยังคงสร้างแรงกดดันมากที่จะนำสิ่งต่าง ๆ กลับมาอย่างรวดเร็ว

อย่างไรก็ตามอย่าพยายามล่อลวงให้กลับไปออนไลน์เร็วเกินไป ให้รีบดำเนินการโดยเร็วที่สุดเพื่อทำความเข้าใจกับสิ่งที่ทำให้เกิดปัญหาและแก้ไขก่อนที่คุณจะกลับมาออนไลน์ไม่เช่นนั้นคุณจะตกเป็นเหยื่อของการบุกรุกอีกครั้งและจำไว้ว่า "การถูกแฮ็กเมื่อถูกจัดประเภทเป็นโชคร้าย เพื่อที่จะถูกแฮ็กอีกครั้งในภายหลังหลังจากนั้นดูเหมือนว่าความประมาท "(ด้วยการขอโทษออสการ์ไวลด์)

  1. ฉันสมมติว่าคุณเข้าใจปัญหาทั้งหมดที่นำไปสู่การบุกรุกที่ประสบความสำเร็จตั้งแต่แรกก่อนที่คุณจะเริ่มหัวข้อนี้ ฉันไม่ต้องการพูดเกินจริงกรณี แต่ถ้าคุณยังไม่ได้ทำก่อนอื่นคุณต้องทำจริงๆ ขอโทษ
  2. ไม่ต้องจ่ายแบล็กเมล์ / เงินป้องกัน นี่คือสัญลักษณ์ของเครื่องหมายที่ง่ายและคุณไม่ต้องการให้วลีนั้นเคยอธิบายคุณ
  3. อย่าล่อลวงให้เซิร์ฟเวอร์เดิมกลับสู่สถานะออนไลน์โดยไม่ต้องสร้างใหม่อย่างสมบูรณ์ มันควรจะเร็วกว่าที่จะสร้างกล่องใหม่หรือ "nuke เซิร์ฟเวอร์จากวงโคจรและทำการติดตั้งใหม่ทั้งหมด" บนฮาร์ดแวร์เก่ากว่าจะตรวจสอบทุก ๆ มุมของระบบเก่าเพื่อให้แน่ใจว่าสะอาดก่อนนำกลับมาใช้ ออนไลน์อีกครั้ง หากคุณไม่เห็นด้วยกับสิ่งนั้นคุณอาจไม่รู้ว่าจริงๆแล้วมันหมายถึงอะไรเพื่อให้แน่ใจว่าระบบได้รับการทำความสะอาดอย่างสมบูรณ์หรือขั้นตอนการปรับใช้เว็บไซต์ของคุณไม่เป็นระเบียบ คุณน่าจะมีการสำรองและทดสอบการปรับใช้ไซต์ของคุณที่คุณสามารถใช้เพื่อสร้างเว็บไซต์สดและหากคุณไม่ถูกแฮ็คก็ไม่ใช่ปัญหาที่ใหญ่ที่สุดของคุณ
  4. ระวังให้มากเกี่ยวกับการใช้ข้อมูลที่ "สด" บนระบบในเวลาที่แฮ็ก ฉันจะไม่พูดว่า "ไม่เคยทำเลย" เพราะคุณแค่เพิกเฉยต่อฉัน แต่ฉันคิดว่าคุณต้องพิจารณาผลที่จะตามมาจากการเก็บรักษาข้อมูลเมื่อคุณรู้ว่าคุณไม่สามารถรับรองความถูกต้องได้ เป็นการดีที่คุณควรกู้คืนจากการสำรองข้อมูลที่ทำก่อนการบุกรุก หากคุณทำไม่ได้หรือไม่ทำอย่างนั้นคุณควรระวังข้อมูลนั้นให้ดีเพราะมันเสีย คุณควรตระหนักถึงผลกระทบที่เกิดขึ้นกับผู้อื่นเป็นพิเศษหากข้อมูลนี้เป็นของลูกค้าหรือผู้เข้าชมเว็บไซต์มากกว่าที่จะส่งถึงคุณโดยตรง
  5. ตรวจสอบระบบอย่างระมัดระวัง คุณควรแก้ไขให้เป็นกระบวนการต่อเนื่องในอนาคต (ด้านล่าง) แต่คุณต้องระวังเป็นพิเศษในช่วงเวลาดังต่อไปนี้ทันทีหลังจากที่ไซต์ของคุณกลับมาออนไลน์ ผู้บุกรุกจะกลับมาอย่างแน่นอนและถ้าคุณเห็นพวกเขาพยายามที่จะบุกเข้ามาอีกครั้งคุณจะสามารถเห็นได้อย่างรวดเร็วถ้าคุณปิดรูทั้งหมดที่พวกเขาใช้ก่อนหน้านี้รวมถึงสิ่งที่พวกเขาทำเอง ข้อมูลที่คุณสามารถส่งต่อไปยังหน่วยงานบังคับใช้กฎหมายในท้องถิ่นของคุณ

การลดความเสี่ยงในอนาคต

สิ่งแรกที่คุณต้องเข้าใจคือความปลอดภัยเป็นกระบวนการที่คุณต้องนำไปใช้ตลอดวงจรชีวิตทั้งหมดของการออกแบบการปรับใช้และการบำรุงรักษาระบบที่เชื่อมต่อกับอินเทอร์เน็ตไม่ใช่สิ่งที่คุณสามารถตบเลเยอร์มากกว่าโค้ดของคุณในภายหลังได้ สี. เพื่อความปลอดภัยที่เหมาะสมบริการและแอปพลิเคชันจะต้องได้รับการออกแบบตั้งแต่เริ่มต้นโดยคำนึงถึงสิ่งนี้เป็นหนึ่งในเป้าหมายหลักของโครงการ ฉันรู้ว่ามันน่าเบื่อและคุณเคยได้ยินมาก่อนและฉัน "ไม่ได้ตระหนักถึงแรงกดดัน" ในการรับบริการเบต้า web2.0 (เบต้า) ของคุณเข้าสู่สถานะเบต้าบนเว็บ แต่ความจริงก็คือ การทำซ้ำเพราะเป็นเรื่องจริงในครั้งแรกที่มีการพูดและยังไม่ได้กลายเป็นเรื่องโกหก

คุณไม่สามารถขจัดความเสี่ยง คุณไม่ควรลองทำเช่นนั้น สิ่งที่คุณควรทำคือเข้าใจความเสี่ยงด้านความปลอดภัยที่มีความสำคัญต่อคุณและเข้าใจวิธีการจัดการและลดผลกระทบของความเสี่ยงและโอกาสที่จะเกิดความเสี่ยง

คุณสามารถทำตามขั้นตอนใดบ้างเพื่อลดโอกาสในการถูกโจมตีที่ประสบความสำเร็จ

ตัวอย่างเช่น:

  1. ข้อบกพร่องที่ทำให้คนอื่นรู้จักเว็บไซต์ของคุณเป็นข้อบกพร่องในรหัสผู้ขายซึ่งมีการแก้ไขหรือไม่ ถ้าเป็นเช่นนั้นคุณจำเป็นต้องคิดทบทวนแนวทางการแก้ไขแอปพลิเคชันบนเซิร์ฟเวอร์ที่เชื่อมต่ออินเทอร์เน็ตหรือไม่
  2. ข้อบกพร่องที่ทำให้คนอื่นเจาะเว็บไซต์ของคุณเป็นข้อผิดพลาดที่ไม่รู้จักในรหัสผู้ขายซึ่งไม่มีการแก้ไขหรือไม่ แน่นอนที่สุดฉันไม่สนับสนุนการเปลี่ยนแปลงซัพพลายเออร์ทุกครั้งที่สิ่งนี้กัดคุณเพราะพวกเขาทุกคนมีปัญหาและพวกเขาจะหมดแพลตฟอร์มในหนึ่งปีเป็นอย่างมากถ้าคุณใช้วิธีนี้ อย่างไรก็ตามหากระบบให้คุณลงอย่างต่อเนื่องคุณควรจะย้ายไปยังสิ่งที่แข็งแกร่งกว่าหรืออย่างน้อยที่สุดให้สร้างระบบของคุณขึ้นใหม่เพื่อให้ส่วนประกอบที่เปราะบางอยู่ในสำลีและอยู่ห่างจากดวงตาที่เป็นมิตรมากที่สุด
  3. ข้อบกพร่องในรหัสที่พัฒนาโดยคุณ (หรือผู้รับจ้างทำงานให้คุณ) หรือไม่? ถ้าเป็นเช่นนั้นคุณต้องคิดทบทวนวิธีการอนุมัติรหัสสำหรับการปรับใช้ไซต์สดของคุณใหม่หรือไม่? ข้อผิดพลาดอาจถูกจับได้ด้วยระบบทดสอบที่ปรับปรุงใหม่หรือด้วยการเปลี่ยนแปลงในการเข้ารหัส "มาตรฐาน" ของคุณ (ตัวอย่างเช่นในขณะที่เทคโนโลยีไม่ใช่ยาครอบจักรวาลคุณสามารถลดความน่าจะเป็นของการโจมตีฉีด SQL ที่ประสบความสำเร็จโดยใช้เทคนิคการเข้ารหัสที่ดี )
  4. ข้อบกพร่องเนื่องจากปัญหาเกี่ยวกับวิธีการปรับใช้เซิร์ฟเวอร์หรือแอปพลิเคชันซอฟต์แวร์หรือไม่ ถ้าเป็นเช่นนั้นคุณใช้กระบวนการอัตโนมัติเพื่อสร้างและปรับใช้เซิร์ฟเวอร์ที่เป็นไปได้หรือไม่ สิ่งเหล่านี้เป็นตัวช่วยที่ดีในการรักษาสถานะ "พื้นฐาน" ที่สอดคล้องกันบนเซิร์ฟเวอร์ทั้งหมดของคุณลดจำนวนงานที่กำหนดเองที่ต้องทำในแต่ละงานและหวังว่าจะลดโอกาสในการทำผิดพลาดให้น้อยที่สุด ไปด้วยกันกับการปรับใช้รหัส - ถ้าคุณต้องการบางสิ่งที่ "พิเศษ" ที่จะต้องทำเพื่อปรับใช้เวอร์ชันล่าสุดของแอพพลิเคชั่นเว็บของคุณแล้วพยายามอย่างหนักที่จะทำให้มันเป็นแบบอัตโนมัติ
  5. การบุกรุกได้ถูกจับมาก่อนหน้านี้ด้วยการตรวจสอบระบบของคุณที่ดีขึ้นหรือไม่? แน่นอนว่าการตรวจสอบตลอด 24 ชั่วโมงหรือระบบ "โทร" สำหรับพนักงานของคุณอาจไม่คุ้มค่า แต่มี บริษัท หลายแห่งที่สามารถติดตามบริการที่คุณหันหน้าเข้าหาเว็บของคุณและแจ้งเตือนคุณเมื่อเกิดปัญหา คุณอาจตัดสินใจว่าคุณไม่สามารถจ่ายได้หรือไม่ต้องการมันและก็ไม่เป็นไร ... แค่นำมาพิจารณา
  6. ใช้เครื่องมือเช่น tripwire และ nessus ตามความเหมาะสม แต่อย่าใช้เพียงแค่สุ่มสี่สุ่มห้าเพราะฉันพูดอย่างนั้น ใช้เวลาในการเรียนรู้วิธีการใช้เครื่องมือรักษาความปลอดภัยที่ดีที่เหมาะสมกับสภาพแวดล้อมของคุณรักษาเครื่องมือเหล่านี้ให้ทันสมัยและใช้งานเป็นประจำ
  7. พิจารณาว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัยเพื่อ 'ตรวจสอบ' ความปลอดภัยเว็บไซต์ของคุณเป็นประจำ อีกครั้งคุณอาจตัดสินใจว่าคุณไม่สามารถจ่ายได้หรือไม่ต้องการมันและก็ไม่เป็นไร ... แค่นำมาพิจารณา

คุณสามารถทำตามขั้นตอนใดบ้างเพื่อลดผลที่ตามมาจากการโจมตีสำเร็จ

หากคุณตัดสินใจว่า "ความเสี่ยง" ของชั้นล่างของน้ำท่วมบ้านของคุณอยู่ในระดับสูง แต่ไม่สูงพอที่จะรับประกันการเคลื่อนไหวอย่างน้อยที่สุดคุณควรย้ายครอบครัวมรดกที่ไม่สามารถถูกแทนที่ได้ขึ้นไปข้างบน ขวา?

  1. คุณสามารถลดจำนวนบริการที่เปิดเผยโดยตรงกับอินเทอร์เน็ตได้หรือไม่ คุณสามารถรักษาช่องว่างบางอย่างระหว่างบริการภายในของคุณกับบริการอินเทอร์เน็ตของคุณได้หรือไม่? สิ่งนี้ทำให้มั่นใจได้ว่าแม้ว่าระบบภายนอกของคุณจะเสี่ยงต่อการใช้สิ่งนี้เป็นกระดานกระโดดน้ำเพื่อโจมตีระบบภายในของคุณก็ตาม
  2. คุณกำลังจัดเก็บข้อมูลที่คุณไม่ต้องการจัดเก็บหรือไม่? คุณจัดเก็บข้อมูลดังกล่าวเป็น "ออนไลน์" หรือไม่เมื่อถูกเก็บถาวรในที่อื่น มีสองจุดในส่วนนี้ สิ่งที่ชัดเจนคือผู้คนไม่สามารถขโมยข้อมูลจากคุณที่คุณไม่มีและจุดที่สองคือยิ่งคุณเก็บน้อยกว่าคุณต้องบำรุงรักษาและรหัสน้อยดังนั้นจึงมีโอกาสน้อยที่ข้อบกพร่องที่จะแอบเข้าไป การออกแบบรหัสหรือระบบของคุณ
  3. คุณใช้หลักการ "การเข้าถึงน้อยที่สุด" สำหรับแอปพลิเคชันบนเว็บของคุณหรือไม่ หากผู้ใช้ต้องการอ่านจากฐานข้อมูลเท่านั้นตรวจสอบให้แน่ใจว่าบัญชีที่เว็บแอปใช้บริการนี้มีสิทธิ์เข้าถึงแบบอ่านเท่านั้นไม่อนุญาตให้มีการเข้าถึงเพื่อเขียนและไม่ใช่การเข้าถึงระดับระบบ
  4. หากคุณไม่ได้มีประสบการณ์อย่างมากและไม่ได้เป็นศูนย์กลางของธุรกิจของคุณ กล่าวอีกนัยหนึ่งถ้าคุณเรียกใช้เว็บไซต์ขนาดเล็กที่พูดถึงการเขียนรหัสแอปพลิเคชันเดสก์ท็อปและตัดสินใจเริ่มขายแอปพลิเคชันเดสก์ท็อปขนาดเล็กจากเว็บไซต์ให้พิจารณา "จ้าง" ระบบสั่งซื้อบัตรเครดิตของคุณ
  5. หากเป็นไปได้ทำการฝึกซ้อมการกู้คืนจากระบบที่ถูกบุกรุกซึ่งเป็นส่วนหนึ่งของแผนกู้คืนความเสียหาย นี่เป็นเพียงอีกเหตุการณ์หนึ่ง "สถานการณ์ความหายนะ" ที่คุณอาจพบได้เพียงปัญหาหนึ่งที่มีชุดของปัญหาและปัญหาที่แตกต่างจาก 'ห้องเซิร์ฟเวอร์ที่ถูกไฟไหม้' / 'ถูกบุกรุกโดยเซิร์ฟเวอร์ขนาดใหญ่ที่กินสิ่งต่างๆ (แก้ไขต่อ XTZ)

... และในที่สุดก็

ฉันอาจไม่ได้ทิ้งอะไรที่คนอื่นคิดว่าสำคัญ แต่อย่างน้อยขั้นตอนข้างต้นควรช่วยให้คุณเริ่มเรียงลำดับสิ่งต่าง ๆ หากคุณโชคร้ายพอที่จะตกเป็นเหยื่อของแฮ็กเกอร์

เหนือสิ่งอื่นใด: อย่าตกใจ คิดก่อนทำ ดำเนินการอย่างมั่นคงเมื่อคุณตัดสินใจและแสดงความคิดเห็นด้านล่างหากคุณมีบางอย่างที่จะเพิ่มในรายการขั้นตอนของฉัน

Rob Moir
แหล่งที่มา
+1, ดีมาก, ครอบคลุมมาก
Avery Payne
ขอบคุณเอเวอรี่ฉันไม่แน่ใจว่ารูปของคุณจะไม่พูดเร็วกว่านี้มากเท่าไหร่ แต่ตอนนี้ฉันไม่ได้รับการโหวต!
Rob Moir
ฉันหวังว่าเอสเอฟจะมีความสามารถในการทำเครื่องหมายคำตอบเป็นรายการโปรด ดูเหมือนว่ายังมีคำตอบมากมายที่ฉันเห็นว่าฉันต้องการจะโพสต์ข้ามหรือควรจะโพสต์ข้าม ยังไงก็ตามฉันเป็นแฟนของคำตอบอย่างละเอียด - คุณดีกว่ารู้ทั้งหมดมากกว่ารู้เพียงบางส่วน
Avery Payne
1
สิ่งหนึ่งที่คุณต้องเพิ่มทำนี่เป็นส่วนหนึ่งของแผน DR ของคุณ !!! บริษัท ขนาดเล็กอาจมีเซิร์ฟเวอร์เพียงไม่กี่เครื่องสิ่งนี้จำเป็นต้องคำนึงถึงก่อนที่จะเกิดขึ้นทั้งหมดที่คุณสามารถทำได้เมื่อแยกคือประเมินประเมิน nuke สร้างใหม่
XTZ
Nice หนึ่ง XTZ ที่เกิดขึ้นในรายการ
Rob Moir
19

เสมอ nuke มันจากวงโคจร มันเป็นวิธีเดียวที่จะแน่ใจ

ข้อความแสดงแทน
(ที่มา: flickr.com )

ระบบส่วนใหญ่เป็นเอนทิตีแบบองค์รวมที่มีความเชื่อมั่นภายในและโดยนัย การเชื่อใจในระบบที่ถูกบุกรุกนั้นเป็นคำสั่งที่คุณเชื่อว่าผู้ที่ฝ่าฝืนระบบของคุณเริ่มต้นด้วย ในคำอื่น ๆ :

คุณไม่สามารถไว้วางใจได้ ไม่ต้องกังวลกับการทำความสะอาด ตัดการเชื่อมต่อและแยกเครื่องทันที ทำความเข้าใจกับลักษณะของการฝ่าฝืนก่อนที่คุณจะดำเนินการต่อมิฉะนั้นคุณจะเชิญสิ่งเดิมซ้ำอีก ลองถ้าเป็นไปได้ที่จะได้รับวันที่และเวลาของการละเมิดดังนั้นคุณมีกรอบของการอ้างอิง คุณต้องการสิ่งนี้เพราะหากคุณกู้คืนจากการสำรองข้อมูลคุณต้องตรวจสอบให้แน่ใจว่าการสำรองข้อมูลนั้นไม่มีสำเนาของการประนีประนอม ล้างก่อนที่จะกู้คืน - อย่าใช้ทางลัด

เอเวอรี่เพน
แหล่งที่มา
6

คนส่วนใหญ่ไม่ทำเพราะพูดว่าใช้เวลานานเกินไปหรือก่อกวนเกินไป ฉันได้แนะนำลูกค้าจำนวนนับไม่ถ้วนเกี่ยวกับความเป็นไปได้ที่จะเกิดปัญหา แต่ผู้ติดตั้งระบบมักตัดสินใจด้วยเหตุผลเหล่านี้

ที่ถูกกล่าวว่าในระบบที่ฉันมั่นใจว่าฉันรู้วิธีการเข้าใช้และขอบเขตของความเสียหายอย่างเต็มรูปแบบ (บันทึกการปิดเครื่องที่เป็นของแข็งซึ่งโดยทั่วไปจะมี IDS บางที SELinux หรือสิ่งที่คล้ายกันซึ่งเป็นการ จำกัด ขอบเขตของการบุกรุก) ทำความสะอาดเสร็จโดยไม่ต้องติดตั้งใหม่โดยไม่รู้สึกผิดเกินไป

womble
แหล่งที่มา
2

ส่วนใหญ่มีแนวโน้มว่าพวกเขาไม่มีรูทีนการกู้คืนความเสียหายที่ทดสอบเพียงพอเพื่อให้พวกเขารู้สึกมั่นใจในการสร้างใหม่หรือไม่ชัดเจนว่าต้องใช้เวลานานเท่าใดหรือผลกระทบจะเป็นอย่างไร ... หรือการสำรองข้อมูลไม่น่าเชื่อถือหรือนักวิเคราะห์ความเสี่ยง ไม่เข้าใจขอบเขตของระบบที่ถูกบุกรุก ฉันคิดได้หลายเหตุผล

ฉันบอกว่าส่วนใหญ่เป็นสิ่งที่ผิดปกติในกิจวัตรและนโยบายพื้นฐานและนั่นไม่ใช่สิ่งที่คุณต้องการยอมรับอย่างเปิดเผย - และแทนที่จะเป็นท่าป้องกัน อย่างน้อยฉันก็ไม่สามารถมองเห็นหรือปกป้องไม่ให้เช็ดระบบที่ถูกบุกรุกไม่ว่าคุณจะมองมุมไหน

Oskar Duveborn
แหล่งที่มา
2

ก่อนหน้านี้ฉันไม่ได้ nuked ระบบเพื่อให้ฉันสามารถทำการวิเคราะห์เวกเตอร์ที่พวกเขาเข้ามาและ anaylysis ที่ตามมาของการใช้งานและเพื่อดูว่าพวกเขาเข้าไปข้างใน

เมื่อคุณได้รับการรูทแล้ว - คุณมี honeypot สดและมันสามารถให้มากกว่าแฮ็ค - โดยเฉพาะอย่างยิ่งสำหรับตำรวจ

  • ที่กล่าวว่าฉันได้รับในอดีตที่จะสามารถรับระบบที่สะอาดในการสแตนด์บายร้อนและเพื่อให้สามารถเพิ่มความปลอดภัยเครือข่ายที่รวดเร็วเพื่อแยกกล่องราก
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.