Best Practices für die Reaktion auf einen Sicherheitsvorfall

Wenden Sie Ihren Systemintegrator und das entsprechende Sicherheitspersonal an, um Untersuchungen und Korrekturmaßnahmen durchzuführen.

Bestimmen Sie den Umfang des Angriffs:

• Wurde auf Kreditkarteninformationen zugegriffen?
• Welche Informationen wurden gestohlen?
• Wie viel Zeit ist seit dem Kompromiss verstrichen?
• Wurden die Informationen verschlüsselt?

Versuchen Sie, den Angriffsvektor zu finden, um festzustellen, wann und wie die Site kompromittiert wurde, indem Sie die Server-Protokolldateien und Dateiänderungen überprüfen.

• Unter bestimmten Umständen kann es ratsam sein, alles zu löschen und neu zu installieren oder im Falle des virtuellen Hosting eine neue Instanz zu erstellen. Malware könnte an einem unerwarteten Ort versteckt sein, nur darauf wartend, sich selbst wiederherzustellen.

• Entfernen Sie alle unnötigen Dateien. Installieren Sie dann die erforderlichen Dateien aus einer bekannten, sauberen Quelle neu. Sie können beispielsweise Dateien aus Ihrem Versionskontrollsystem oder aus den Originalverteilungsdateien von Adobe neu installieren.

• Alle Anmeldedaten zurücksetzen, einschließlich Datenbank, Dateizugriff, Zahlungs- und Versandintegrationen, Webservices und Admin-Anmeldung. Setzen Sie außerdem alle Integrations- und API-Schlüssel und -Konten zurück, die möglicherweise zum Angriff auf das System verwendet werden.

Audit-Admin-.

Der Bericht „Aktionsprotokolle“ zeigt einen detaillierten Datensatz aller Admin-Aktionen an, die für die Protokollierung aktiviert sind. Jeder Datensatz erhält einen Zeitstempel und registriert die IP-Adresse und den Namen des Benutzers. Die Protokolldetails enthalten Admin-Benutzerdaten und zugehörige Änderungen, die während der Aktion vorgenommen wurden.

Analysieren von Ereignissen mit dem Tool „Observation for Adobe Commerce.

Mit dem Tool Observation for Adobe Commerce können Sie komplexe Probleme analysieren, um deren Ursachen festzustellen. Anstatt unterschiedliche Daten zu verfolgen, können Sie Ihre Zeit damit verbringen, Ereignisse und Fehler zu korrelieren, um tiefere Einblicke in die Ursachen von Leistungsengpässen zu erhalten.

Verwenden Sie die Sicherheit im Tool, um einen klaren Überblick über potenzielle Sicherheitsprobleme zu erhalten und so die Grundursachen zu identifizieren und die optimale Leistung von Sites sicherzustellen.

Analysieren von Protokollen mit New Relic-Protokollen

Adobe Commerce in Cloud Infrastructure Pro-Projekten umfassen den Service "New RelicProtokolle“. Der Service ist so vorkonfiguriert, dass er alle Protokolldaten aus Ihren Staging- und Produktionsumgebungen aggregiert, um sie in einem zentralen Protokollverwaltungs-Dashboard anzuzeigen, in dem Sie aggregierte Daten suchen und visualisieren können.

Für andere Commerce-Projekte können Sie den Dienst New Relic Logs einrichten und verwenden, um die folgenden Aufgaben auszuführen:

• Verwenden Sie New RelicAbfragen, um aggregierte Protokolldaten zu suchen.
• Visualisieren von Protokolldaten über die New Relic-Protokollanwendung

Administratorzugriff überprüfen - Alte, nicht verwendete oder verdächtige Konten entfernen und Kennwörter für alle Administratorbenutzer rotieren.

Überprüfen der Admin-Sicherheitseinstellungen Überprüfen Sie, ob die Admin-Sicherheitseinstellungen den Best Practices für die Sicherheit entsprechen.

Überprüfen von Benutzerkonten für Adobe Commerce in Cloud-Infrastrukturprojekten - Entfernen Sie alte, nicht verwendete oder verdächtige Konten und rotieren Sie Kennwörter für alle Cloud-Projekt-Admin-Benutzer. Stellen Sie sicher, dass die Sicherheitseinstellungen des Kontos korrekt konfiguriert sind.

Audit von SSH-Schlüsseln für Adobe Commerce in der Cloud-Infrastruktur - Überprüfen, Löschen und Drehen von SSH-Schlüsseln.

Überprüfen Sie vom Administrator die Konfiguration der HTML-Kopf- und - in allen Bereichsebenen, einschließlich website und store view. Entfernen Sie unbekannten JavaScript-Code aus den Skripten und Stylesheets sowie verschiedene HTML-Einstellungen. Nur erkannten Code wie Tracking-Snippets beibehalten.

Vergleichen Sie die aktuelle Produktions-Code-Basis mit der im Versionskontrollsystem (VCS) gespeicherten Code-Basis.

Quarantäne von verdächtigem Code

Stellen Sie sicher, dass es keine Reste von verdächtigem Code gibt, indem Sie die Code-Basis in der Produktionsumgebung erneut bereitstellen.

Überprüfen Sie alle gespeicherten Prozeduren auf Änderungen.

Stellen Sie sicher, dass auf die Datenbank nur über die Commerce-Instanz zugegriffen werden kann.

Stellen Sie sicher, dass keine Malware mehr vorhanden ist, indem Sie die Website mit öffentlich verfügbaren Malware-Scan-Tools durchsuchen.

Sichern Sie das Admin-Bedienfeld, indem Sie dessen Namen ändern und überprüfen, ob die Site-app/etc/local.xml und var-URLs nicht öffentlich zugänglich sind.

Die Site nach dem Vorfall weiterhin genau überwachen, da viele Sites innerhalb von Stunden wieder gefährdet sind. Fortlaufende Protokollüberprüfung und Überwachung der Dateiintegrität sicherstellen, um Anzeichen für neue Kompromisse schnell zu erkennen.