Documentation Commerce Manuel d’implémentation

Bonnes pratiques pour répondre à un incident de sécurité

Last update: Tue Nov 07 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Rubriques :
Best Practices

Créé pour :

Experienced
Admin
Developer

L’article suivant résume les bonnes pratiques pour répondre à un incident de sécurité et résoudre les problèmes qui affectent la disponibilité, la fiabilité et les performances du site Adobe Commerce.

Le respect de ces bonnes pratiques peut contribuer à prévenir les accès non autorisés et les attaques par des logiciels malveillants. Si un incident de sécurité se produit, ces bonnes pratiques vous aident à préparer une réponse immédiate, à effectuer une analyse des causes premières et à gérer le processus de correction pour restaurer les opérations normales.

TIP

Adobe a constaté que la plupart des incidents de sécurité se produisent lorsque des acteurs de menace profitent de vulnérabilités existantes et non corrigées, de mots de passe inappropriés et de paramètres de propriété et d’autorisation faibles dans l’application Commerce et la configuration de l’infrastructure. Réduisez le nombre d’incidents de sécurité en consultant et en suivant les bonnes pratiques de sécurité d’Adobe lors de la configuration, de la configuration et de la mise à jour des installations Adobe Commerce. Voir Sécurisez votre site et votre infrastructure Commerce.

Produits et versions concernés

Toutes les versions prises en charge de :

Adobe Commerce sur l’infrastructure cloud
Adobe Commerce sur site

Réponse à un incident

Si vous pensez que votre projet d’infrastructure cloud Adobe Commerce est affecté par un incident de sécurité, les premières étapes critiques sont les suivantes :

Contrôle de tous les accès aux comptes d’utilisateur administrateur
Activation des contrôles d’authentification multifactorielle avancée (MFA)
Conserver les logs critiques
Vérifiez les mises à niveau de sécurité de votre version d’Adobe Commerce.

D’autres recommandations sont présentées ci-dessous.

Agir immédiatement en cas d'attaque

Dans le malheureux cas d'un compromis de site, voici quelques recommandations essentielles à suivre :

Contactez votre intégrateur système et le personnel de sécurité approprié pour mener des enquêtes et des efforts de correction.
Déterminer la portée de l'attaque :
- Les informations de carte de crédit ont-elles été consultées ?
- Quelles informations ont été volées ?
- Combien de temps s'est-il écoulé depuis le compromis ?
- L'information a-t-elle été cryptée ?
Essayez de trouver le vecteur d'attaque pour déterminer quand et comment le site a été compromis, en examinant les fichiers journaux du serveur et les modifications de fichiers.
- Dans certains cas, il peut être conseillé d’effacer et de réinstaller tout ou, dans le cas de l’hébergement virtuel, de créer une nouvelle instance. Des logiciels malveillants pourraient être cachés dans un endroit insoupçonné, attendant de se rétablir.
- Supprimez tous les fichiers inutiles. Ensuite, réinstallez les fichiers requis à partir d’une source connue et propre. Par exemple, vous pouvez réinstaller à l’aide de fichiers de votre système de contrôle de version ou à partir des fichiers de distribution d’origine d’Adobe.
- Réinitialisez toutes les informations d’identification, y compris la base de données, l’accès aux fichiers, les intégrations de paiement et d’expédition, les services web et la connexion administrateur. Réinitialisez également toutes les clés d’intégration et d’API et tous les comptes qui peuvent être utilisés pour attaquer le système.

Analyse d’un incident

La première étape de l'analyse des incidents est de rassembler autant de faits que possible, aussi vite que possible. Rassembler des informations sur l’incident peut aider à déterminer la cause potentielle de l’incident. Adobe Commerce fournit les outils ci-dessous pour faciliter votre analyse des incidents.

Journaux des actions de l’administrateur d’audit.

Le rapport Journaux d’actions affiche un enregistrement détaillé de toutes les actions d’administration activées pour la journalisation. Chaque enregistrement est horodaté et enregistre l’adresse IP et le nom de l’utilisateur. Le détail du journal comprend les données utilisateur de l’administrateur et les modifications associées qui ont été apportées pendant l’action.
Analysez les événements à l’aide du Observation pour l’outil Adobe Commerce.

L’outil Observation pour Adobe Commerce vous permet d’analyser des problèmes complexes afin d’identifier les causes profondes. Au lieu de suivre des données disparates, vous pouvez passer votre temps à mettre en corrélation des événements et des erreurs afin d’obtenir des informations plus approfondies sur les causes des goulets d’étranglement en termes de performances.

Utilisez la variable Sécurité de l’outil pour obtenir une vue d’ensemble claire des problèmes de sécurité potentiels afin d’identifier les causes premières et de maintenir les performances optimales des sites.
Analyser les journaux avec Journaux New Relic

Les projets Adobe Commerce sur l’infrastructure cloud Pro incluent Journaux New Relic service. Le service est préconfiguré pour agréger toutes les données de journal de vos environnements d’évaluation et de production afin de les afficher dans un tableau de bord de gestion des journaux centralisé où vous pouvez rechercher et visualiser des données agrégées.

Pour d’autres projets Commerce, vous pouvez configurer et utiliser la variable Journaux New Relic pour effectuer les tâches suivantes :
- Utilisation Requêtes New Relic pour rechercher des données de journal agrégées.
- Visualisez les données de journal à l’aide de l’application New Relic Logs.

Comptes d’audit, code et base de données

Consultez les journaux et les comptes d’administrateur et d’utilisateur Commerce, le code de l’application et la configuration de la base de données pour identifier et nettoyer le code suspect et assurer la sécurité de l’accès au compte, au site et à la base de données. Ensuite, redéployez selon les besoins.

Continuez à surveiller de près le site après l'incident, car de nombreux sites sont de nouveau compromis en quelques heures. Assurez-vous que la révision des journaux et la surveillance de l’intégrité des fichiers sont en cours afin de détecter rapidement tout signe de nouveau compromis.

Comptes d’utilisateurs administrateurs d’audit

Vérification de l’accès des utilisateurs administrateurs: supprimez les comptes anciens, inutilisés ou suspects et faites pivoter les mots de passe de tous les utilisateurs administrateurs.
Vérification des paramètres de sécurité de l’administrateur: vérifiez que les paramètres de sécurité de l’administrateur suivent les bonnes pratiques en matière de sécurité.
Vérification des comptes d’utilisateurs pour Adobe Commerce sur les projets d’infrastructure cloud: supprimez les comptes anciens, inutilisés ou suspects et faites pivoter les mots de passe de tous les utilisateurs administrateurs de projet cloud. Vérifiez que les paramètres de sécurité du compte sont correctement configurés.
Vérifier les clés SSH pour Adobe Commerce sur l’infrastructure cloud : vérifiez, supprimez et faites pivoter les clés SSH.

Code d’audit

Depuis l’administrateur, passez en revue les Configuration des en-têtes et pieds de page de HTML à tous les niveaux de portée, y compris website et store view. Supprimez tout code JavaScript inconnu des scripts et des feuilles de style, ainsi que des paramètres de HTML divers. Conservez uniquement le code reconnu tel que les fragments de code de suivi.
Comparez la base de code de production actuelle à la base de code stockée dans le système de contrôle de version (VCS).
Mettre en quarantaine tout code suspect.
S’assurer qu’il n’y a pas de restes de code suspect en redéployant le code base dans l’environnement de production.

Suivi de la configuration et des journaux de la base de données

Examinez les procédures stockées pour les modifications.
Vérifiez que la base de données n’est accessible que par l’instance Commerce.
Vérifiez que les logiciels malveillants ne sont plus présents en analysant le site à l’aide d’outils de numérisation de programmes malveillants accessibles au public.
Sécurisez le panneau d’administration en modifiant son nom et en vérifiant que le site app/etc/local.xml et var Les URL ne sont pas accessibles publiquement.
Continuez à surveiller de près le site après l'incident, car de nombreux sites sont de nouveau compromis en quelques heures. Assurez-vous que la révision des journaux et la surveillance de l’intégrité des fichiers sont en cours afin de détecter rapidement tout signe de nouveau compromis.

Suppression des avertissements Google

Si le site a été marqué par Google comme contenant du code malveillant, demandez une révision une fois le site nettoyé. Les analyses pour les sites infectés par un logiciel malveillant prennent quelques jours. Une fois que Google a déterminé que le site est propre, les avertissements des résultats de recherche et des navigateurs doivent disparaître dans les 72 heures. Voir Demande d’une révision.

Consultez la liste de contrôle des résultats malveillants

Si des outils de numérisation de programmes malveillants accessibles au public confirment une attaque de programmes malveillants, enquêtez sur l'incident. Travaillez avec l’intégrateur de solution pour nettoyer le site et suivre le processus de correction recommandé.

Réaliser des révisions supplémentaires

Lorsque vous traitez d’attaques complexes, la meilleure ligne de conduite consiste à collaborer avec un développeur expérimenté, un expert tiers ou un intégrateur de solutions pour réparer entièrement le site et passer en revue les pratiques de sécurité. Collaborez avec des professionnels de la sécurité expérimentés afin de vous assurer que des mesures complètes et avancées sont prises pour garantir la sécurité de votre entreprise et de ses clients.

Informations supplémentaires

Structure de l’analyse de la cause racine.

recommendation-more-help

754cbbf3-3a3c-4af3-b6ce-9d34390f3a60