Sto affrontando un problema in cui gli hacker stanno cercando di compromettere due dei miei server. Sono riusciti a spazzare via entrambi e a rubare i miei backup. Ho avuto backup off-site e sono tornato online. Tuttavia, voglio chiudere le porte posteriori nel mio sistema. Cosa devo fare per assicurarmi che ciò non accada mai più?
Il backup esterno al sito è stato ripristinato da un punto in cui avevano già accesso.
Un backup precedente non è un'opzione.
I want to close the back doors into my system.
Credo che sia la tua risposta. È necessario eseguire una risposta in caso di incidente e scoprire qual è stata la causa della tua rottura e chiudere i buchi che hai trovato.
La sicurezza è un approccio a pacciami, vorrete alcuni software come firewall, antivirus, rilevamento delle intrusioni, ecc. a livello di sistema e probabilmente a livello di rete. È possibile che si desideri eseguire il proxy delle connessioni al server sia a livello di rete che a livello di applicazione. Ad esempio, su un server web potresti voler includere un firewall per applicazioni web .
Una delle cause più probabili se si utilizza un software standard è che il software non è aggiornato e deve essere aggiornato, il software deve essere aggiornato regolarmente. Inoltre, è inoltre necessario assicurarsi di configurare tutte le impostazioni opzionali nel modo appropriato e più sicuro, che varierà in base all'applicazione. Puoi utilizzare google per le guide o considerare la possibilità di porre una domanda più specifica alla comunità su come proteggere al meglio un'applicazione specifica.
Se stai scrivendo il tuo software, devi assicurarti di seguire le pratiche di codifica sicure. È necessario assicurarsi che vi sia una convalida dell'input, una corretta applicazione di protocolli / algoritmi e che si stiano utilizzando versioni aggiornate / protette di librerie di terze parti. Se stai facendo applicazioni web, controlla OWASP .
In termini di risposta agli incidenti, devi cercare le prove di come sono arrivati al tuo sistema e cosa hanno fatto. È possibile che fossero solo in grado di accedere a determinati file o compromettere determinate applicazioni, tuttavia, dalle domande iniziali non è abbastanza sicuro di cosa sia successo o cosa abbiano effettivamente fatto.
È possibile trovare prove confrontando i file con valori noti (monitoraggio dell'integrità dei file) e esaminando i log di accesso (supponendo che non siano stati compromessi). Dovresti cercare tra alcune domande esistenti qui su questo sito sulla risposta agli incidenti che potrebbero aiutarti nel percorso giusto.
Il ripristino da un backup ti riporterà online, ma non risolverà il tuo problema, il backup probabilmente contiene le stesse vulnerabilità.