Τι να κάνετε όταν παραβιάζεται η ασφάλεια του server σας
Οι κυβερνοεπιθέσεις στον server σας μπορεί να προκαλέσουν πραγματική πανωλεθρία. Πως θα καταφέρετε να επιβιώσετε μετά από μια παραβίαση ασφαλείας, οταν ο εικονικός ή πραγματικός σας server πέσει θύμα hacker; Το κλειδί για να τα καταφέρετε είναι η αμεσότητα και τα γρήγορα αντανακλαστικά.
Ειδικότερα, ο ταχύς εντοπισμός της παραβίασης ασφαλείας μαζί με την επείγουσα και άμεση αποκατάσταση, μπορεί να ελαχιστοποιήσουν τη ζημιά. Διαβάστε τα βήματα που θα διασφαλίσουν πως θα έχετε μια αποτελεσματική ζώνη άμυνας, ώστε να αποτρέψετε την υποκλοπή των δεδομένων σας και τις καταστροφικές επιπτώσεις τέτοιων επιθέσεων.
Ελέγξτε τους servers για παραβιάσεις
Προφανώς αυτό το βήμα είναι πρώτο και άκρως απαραίτητο. Για να ελέγξετε για παραβιάσεις σε Linux servers, μπορείτε να χρησιμοποιήσετε το Rootkit Hunter. Για Windows servers, τρέξτε τα Microsoft Tools. Επιπρόσθετα τα Sysinternals Security Utilities και Sysinternals Process Utilities αποτελούν επίσης χρήσιμα εργαλεία για να ξεκινήσετε.
Επικοινωνήστε με την ομάδα υποστήριξης της εταιρίας που σας παρέχει τη διαδικτυακή φιλοξενία
Αν οι server σας φιλοξενούνται σε κάποια εταιρία που σας παρέχει την υπηρεσία, πρέπει να σημάνετε άμεσα συναγερμό πως έχετε πέσει θύμα κυβερνοεπίθεσης. Ο καλύτερος τρόπος για να το κάνετε με τον ταχύτερο δυνατό τρόπο, είναι να διατηρείτε πάντα διαθέσιμα σε πρώτη ζήτηση, όλα τα στοιχεία επικοινωνίας της ομάδας υποστήριξης (συμπεριλαμβανομένων των τηλεφωνικών αριθμών), καθώς και τον αριθμό του λογαριασμού σας στη συγκεκριμένη εταιρία. Όσο πιο άμεση πρόσβαση έχετε στα στοιχεία αυτά, τόσο το καλύτερο.
Κάνετε back up
Από την πρώτη στιγμή που θα αντιληφθείτε κάποια παραβίαση ασφαλείας στους server σας, είναι αποφασιστικής σημασίας να ολοκληρώσετε ένα πλήρες back up του συστήματός σας. Με τον τρόπο αυτό, αν οι hackers έχουν σχεδιάσει η παραβίαση ασφαλείας να καταλήξει στην καταστροφή αρχείων, θα καταφέρετε να προστατεύσετε τα δεδομένα της επιχείρησής σας, δημιουργώντας άμεσα τα απαραίτητα αντίγραφα ασφαλείας. Επιπρόσθετα στην περίπτωση που οι επιτιθέμενοι έχουν στόχο να τροποποιήσουν αρχεία, θα έχετε με τον τρόπο αυτό τη δυνατότητα να εντοπίσετε αυτές τις αλλαγές.
Πιθανότατα έχετε προγραμματισμένες διαδικασίες back up σε τακτική βάση, όμως δεν θα πρέπει να περιμένετε καθόλου, αλλά να επιχειρήσετε άμεσα ένα χειροκίνητο back up το συντομότερο δυνατόν. Αν έχετε τη δυνατότητα να κατεβάσετε τα αντίγραφα ασφαλείας σε έναν εξωτερικό σκληρό δίσκο στο γραφείο ή στο σπίτι, τόσο το καλύτερο. Κάντε το χωρίς χρονοτριβή. Με το τέλος της διαδικασίας, αποσυνδέστε τον δίσκο που περιέχει τα αντίγραφα ασφαλείας και αποθηκεύστε το σε ασφαλές μέρος.
Αποφύγετε να απενεργοποιήσετε τον υπολογιστή σας
Μην απενεργοποιήσετε τον υπολογιστή που δέχεται την επίθεση, αν δεν συλλέξετε προηγουμένως όλα τα metadata. Κι αυτό, γιατί αν το σύστημά σας έχει παραβιαστεί και τα metadata που αφορούν την επίθεση υπάρχουν στη ζωντανή μνήμη του υπολογιστή σας, μπορεί να τα χάσετε για πάντα, στην περίπτωση που κάνετε το λάθος να απενεργοποιήσετε άμεσα το σύστημά σας.
Αποσυνδέστε το καλώδιο δικτύου από το σύστημά σας
Αν το σύστημα για το οποίο υπάρχουν υπόνοιες ή ενδείξεις παραβίασης, εμπεριέχει εμπιστευτικές πληροφορίες ή ευαίσθητα δεδομένα, εξετάστε το ενδεχόμενο αποσύνδεσης του καλωδίου δικτύου, αν ο server βρίσκεται εντός των εγκαταστάσεων της επιχείρησής σας. Σε περίπτωση που διαθέτετε έναν dedicated server που φιλοξενείται από κάποιο τρίτο πάροχο, ζητήστε του να κάνει κάτι αντίστοιχο. Έχετε επίσης στο μυαλό σας, πως σε περιπτώσεις ενός virtual private server, ίσως μπορείτε απλά να παγώσετε το virtual machine. Ελέγξτε την κονσόλα διαχείρισης ή επικοινωνήστε με την ομάδα υποστήριξης του παρόχου φιλοξενίας.
Ο στόχος είναι να σταματήσετε την… αιμορραγία. Ένα σύστημα που έχει παραβιαστεί και το οποίο δεν είναι συνδεδεμένο στο διαδίκτυο (ή είναι παγωμένο στην περίπτωση virtual machine) δεν είναι σε θέση να στείλει δεδομένα στους επιτιθέμενους ή να χρησιμοποιηθεί για μια νέα επίθεση.
Αλλάξτε τους κωδικούς πρόσβασης
Είναι σημαντικό να αλλάξετε τους κωδικούς πρόσβασης και τα κλειδιά κρυπτογράφησης στα συστήματα, αλλά μονάχα εφόσον διορθώσετε όλα τα προβλήματα στα ευάλωτα σημεία του συστήματος τα οποία αποκαλύφθηκαν μετά την παραβίαση ασφαλείας. Το κλειδί είναι να εξασφαλίσετε πως έχετε απαντήσει και επιλύσει όλα τα προβλήματα που αφορούν τα ευάλωτα σημεία ασφαλείας, πριν διακινδυνεύσετε την αλλαγή οποιουδήποτε κωδικού πρόσβασης.
Ελέγξτε τα Log files για ανωμαλίες
Αφού εντοπίσετε κάποια παραβίαση ασφαλείας, πρέπει να διπλασιάσετε τις προσπάθειές σας, ώστε να αναλύσετε τα log files και να εντοπίσετε ανωμαλίες. Αυτό συμπεριλαμβάνει:
- Τη σύνδεση υπολογιστών σε servers στους οποίους δεν είχαν συχνά πρόσβαση.
- Πολλαπλές αποτυχημένες προσπάθειες για log in πριν μια επιτυχημένη σύνδεση.
- Υπολογιστές να στέλνουν δεδομένα μέσω ασυνήθιστων ports ή μέσω VPN σε άγνωστους απομακρυσμένους servers.
Αυτή η ανάλυση θα σας βοηθήσει να καθορίσετε δυο πράγματα: Αν έχετε ρυθμίσει και παραμετροποιήσει σωστά τα alerts για το δίκτυό σας και γιατί έγινε δυνατή η παραβίαση ασφαλείας. Μην ξεχάσετε επίσης να αποθηκεύσετε όλα τα log files.
Περιηγηθείτε στο blog της IpHost και ανακαλύψτε νέα, tutorials, guides και συμβουλές που έχουν ως σκοπό να βελτιώσουν την απόδοση της ιστοσελίδας σας.
Και, φυσικά, είμαστε διαθέσιμοι για οποιαδήποτε βελτίωση ή προσθήκη έχετε να μας προτείνετε. Μπορείτε να κάνετε submit για feature request από την φόρμα επικοινωνίας.