Bonnes pratiques pour répondre à un incident de sécurité

Faites appel à l’intégrateur système et au personnel de sécurité approprié pour mener les enquêtes et prendre les mesures correctives nécessaires.

Déterminez la portée de l’attaque :

• Les informations de carte de crédit ont-elles été consultées ?
• Quelles informations ont été volées ?
• Combien de temps s'est-il écoulé depuis le compromis ?
• L'information était-elle chiffrée ?

Essayez de trouver le vecteur d'attaque pour déterminer quand et comment le site a été compromis, en examinant les fichiers journaux du serveur et les modifications apportées aux fichiers.

• Dans certains cas, il peut être conseillé de tout effacer et de tout réinstaller ou, dans le cas d’un hébergement virtuel, de créer une nouvelle instance. Les logiciels malveillants peuvent être cachés dans un emplacement insoupçonné juste en attendant de se restaurer.

• Supprimez tous les fichiers inutiles. Ensuite, réinstallez les fichiers requis à partir d’une source propre connue. Par exemple, vous pouvez réinstaller à l’aide des fichiers de votre système de contrôle de version ou des fichiers de distribution d’origine d’Adobe.

• Réinitialisez toutes les informations d’identification, notamment la base de données, l’accès aux fichiers, les intégrations de paiement et d’expédition, les services web et la connexion administrateur. Réinitialisez également toutes les clés d’intégration et d’API ainsi que tous les comptes pouvant être utilisés pour attaquer le système.

Journaux des actions d’administration d’audit.

Le rapport Journaux d’actions affiche un enregistrement détaillé de toutes les actions d’administration activées pour la journalisation. Chaque enregistrement est horodaté et enregistre l’adresse IP et le nom de l’utilisateur. Les détails du journal incluent les données utilisateur de l’administrateur et les modifications associées qui ont été effectuées lors de l’action.

Analysez les événements à l’aide de l’outil Observation pour Adobe Commerce.

L’outil Observation pour Adobe Commerce vous permet d’analyser des problèmes complexes afin d’en identifier les causes profondes. Au lieu de suivre des données disparates, vous pouvez passer votre temps à corréler les événements et les erreurs afin d’obtenir des informations plus précises sur les causes des goulots d’étranglement au niveau des performances.

Utilisez l’onglet Sécurité de l’outil pour obtenir une vue claire des problèmes de sécurité potentiels afin d’identifier les causes premières et de garantir des performances optimales des sites.

Analysez les journaux avec Journaux New Relic

Les projets Pro d’Adobe Commerce sur les infrastructures cloud incluent le service Journaux New Relic. Le service est préconfiguré pour agréger toutes les données de journal de vos environnements d’évaluation et de production afin de les afficher dans un tableau de bord de gestion des journaux centralisé où vous pouvez rechercher et visualiser des données agrégées.

Pour d’autres projets Commerce, vous pouvez configurer et utiliser le service Journaux New Relic pour effectuer les tâches suivantes :

• Utilisez Requêtes New Relic pour rechercher des données de journal agrégées.
• Visualisez les données de journal via l’application Journaux New Relic.

Vérifier l'accès des utilisateurs administrateurs—Supprimez les anciens comptes inutilisés ou suspects et faites pivoter les mots de passe pour tous les utilisateurs administrateurs.

Vérification des paramètres de sécurité d'administration—Vérifiez que les paramètres de sécurité d'administration suivent les bonnes pratiques de sécurité.

Vérification des comptes utilisateur pour Adobe Commerce dans les projets d’infrastructure cloud—Supprimez les anciens comptes inutilisés ou suspects et faites pivoter les mots de passe pour tous les utilisateurs administrateurs de projets cloud. Vérifiez que les paramètres de sécurité du compte sont correctement configurés.

Vérification des clés SSH pour Adobe Commerce sur les infrastructures cloud : révision, suppression et rotation des clés SSH.

Depuis l’administration, passez en revue la configuration En-tête et pied de page HTML à tous les niveaux de l’étendue, y compris website et store view. Supprimez tout code JavaScript inconnu des scripts et des feuilles de style, ainsi que divers paramètres d’HTML. Conserver uniquement le code reconnu tel que les fragments de code de suivi.

Comparez la base de code de production actuelle à la base de code stockée dans le système de contrôle de version (VCS).

Mettre en quarantaine tout code suspect.

Assurez-vous qu’il n’existe aucun reste de code suspect en redéployant la base de code vers l’environnement de production.

Examinez les procédures stockées pour y apporter des modifications.

Vérifiez que la base de données n'est accessible que par l'instance Commerce.

Vérifiez que les logiciels malveillants ne sont plus présents en analysant le site à l'aide d'outils d'analyse de logiciels malveillants accessibles au public.

Sécurisez le panneau d’administration en modifiant son nom et en vérifiant que les app/etc/local.xml du site et les URL var ne sont pas accessibles au public.

Continuez à surveiller de près le site après l'incident, car de nombreux sites sont à nouveau compromis en quelques heures. Garantissez une révision continue des journaux et une surveillance de l’intégrité des fichiers pour détecter rapidement tout signe de nouvelle compromission.