Abbiamo un server di applicazioni Web e un database su AWS.
Esiste una politica di "azione immediata" da qualche parte che possiamo adottare in merito alle misure che possiamo adottare quando sospettiamo o rileviamo una violazione dei dati?
Ci sono libri su questo argomento sotto l'intestazione "cyber forensics".
Normalmente vorrai visualizzare tutta la memoria dei computer coinvolti e quindi le unità, in modo da poter capire cosa potrebbe essere stato preso. Inoltre, si desidera rivedere e organizzare tutti i registri di rete. Inoltre, vuoi rimuovere tutte le macchine infette per acquisire il flusso di pacchetti per ragioni di sorveglianza. Questo può essere fatto allo switch o usando hardware specializzato come uno sniffer di base SharkTap. Ti consigliamo di prepararti a toccare e copiare in anticipo, quindi se hai bisogno di farlo, non c'è ritardo.
Inoltre, si vuole evitare di tenere a bada gli hacker che sono stati notati. Non andare in giro a chiudere le cose, perché poi andranno a nascondersi. Vuoi fingere come se nulla fosse successo, quindi continuano a fare cose. Se riesci a capire come osservarli, sarai in una posizione molto migliore per determinare cosa potrebbe essere stato copiato e forse anche in grado di catturarli.
Leggi altre domande sui tag threat-mitigation