Best practice per rispondere a un problema di sicurezza

Coinvolgi l’integratore di sistemi e il personale addetto alla sicurezza per condurre indagini e riparare i danni.

Determinare l'ambito dell'attacco:

• È stato effettuato l'accesso alle informazioni sulla carta di credito?
• Quali informazioni sono state rubate?
• Quanto tempo è trascorso dal compromesso?
• Le informazioni erano crittografate?

Cercare di trovare il vettore di attacco per determinare quando e come il sito è stato compromesso, esaminando i file di registro del server e le modifiche ai file.

• In alcune circostanze, potrebbe essere consigliabile cancellare e reinstallare tutto o, nel caso di hosting virtuale, creare una nuova istanza. I malware potrebbero essere nascosti in una posizione insospettata in attesa di essere ripristinati da soli.

• Rimuovi tutti i file non necessari. Quindi, reinstallare i file richiesti da un'origine nota e pulita. È ad esempio possibile reinstallare utilizzando i file del sistema di controllo delle versioni oppure i file di distribuzione originali di Adobe.

• Reimposta tutte le credenziali, inclusi database, accesso file, integrazioni di pagamento e spedizione, servizi Web e login amministratore. Ripristina anche tutte le chiavi e gli account API e di integrazione che potrebbero essere utilizzati per attaccare il sistema.

Registri azioni azioni amministrazione controllo.

Il rapporto Registri azioni visualizza un record dettagliato di tutte le azioni dell'amministratore abilitate per registrazione. Ogni record ha la marca temporale e registra l’indirizzo IP e il nome dell’utente. I dettagli del registro includono i dati utente amministratore e le relative modifiche apportate durante l’azione.

Analizzare gli eventi con lo strumento Osservazione per Adobe Commerce.

Lo strumento di osservazione per Adobe Commerce consente di analizzare problemi complessi per identificare le cause principali. Invece di tenere traccia di dati diversi, puoi dedicare più tempo alla correlazione di eventi ed errori per ottenere informazioni più approfondite sulle cause dei colli di bottiglia delle prestazioni.

Utilizza la scheda Sicurezza nello strumento per ottenere una chiara visualizzazione dei potenziali problemi di sicurezza per aiutare a identificare le cause principali e mantenere le prestazioni dei siti ottimali.

Analizza i registri con Registri New Relic

I progetti Adobe Commerce su infrastruttura cloud Pro includono il servizio Registri New Relic. Il servizio è preconfigurato per aggregare tutti i dati di registro dagli ambienti di staging e produzione per visualizzarli in un dashboard di gestione dei registri centralizzato in cui è possibile cercare e visualizzare i dati aggregati.

Per altri progetti Commerce, puoi impostare e utilizzare il servizio Registri New Relic per completare le seguenti attività:

• Utilizza query New Relic per cercare dati di registro aggregati.
• Visualizzare i dati di registro tramite l’applicazione Registri di New Relic.

Controlla accesso utente amministratore: consente di rimuovere account vecchi, inutilizzati o sospetti e di ruotare le password per tutti gli utenti amministratore.

Esamina le impostazioni di sicurezza dell'amministratore: verifica che le impostazioni di sicurezza dell'amministratore seguire le best practice per la sicurezza.

Esamina gli account utente di Adobe Systems Commerce su infrastruttura cloud progetti, Rimuovi account vecchi, inutilizzati o sospetti e ruota le password per tutti gli utenti amministratori cloud progetto. Assicurati che account impostazioni di sicurezza siano configurate correttamente.

Controlla le chiavi SSH per Adobe Systems Commerce su infrastruttura cloud: rivedi, elimina e ruota le chiavi SSH.

Dall'amministratore, esamina la configurazione🔗 dell'intestazione HTML e del piè di pagina in tutti i livelli ambito, inclusi website e store view. Rimuovere eventuali codici JavaScript sconosciuti dagli script e dai fogli di stile e da impostazioni HTML varie. Conserva solo il codice riconosciuto, ad esempio i frammenti di tracciamento.

Confrontare la base di codice di produzione corrente con la base di codice memorizzata nel sistema di controllo delle versioni (VCS, Version Control System).

Metti in quarantena qualsiasi codice sospetto.

Assicurati che non vi siano residui di codice sospetto ridistribuendo la base di codice nell’ambiente di produzione.

Esaminare le stored procedure per le modifiche.

Verificare che il database sia accessibile solo dall'istanza di Commerce.

Verificare che il malware non sia più presente analizzando il sito con gli strumenti di scansione del malware disponibili pubblicamente.

Proteggere il pannello di amministrazione modificandone il nome e verificando che gli URL del sito app/etc/local.xml e var non siano accessibili al pubblico.

Continuare a monitorare attentamente il sito dopo l'incidente poiché molti siti vengono compromessi di nuovo in poche ore. Verifica continua del registro e monitoraggio dell'integrità dei file per rilevare rapidamente eventuali segni di nuovi compromessi.