Best practice per rispondere a un problema di sicurezza

L’articolo seguente riepiloga le best practice per rispondere a un problema di sicurezza e risolvere i problemi che influiscono sulla disponibilità, l’affidabilità e le prestazioni del sito Adobe Commerce.

L’aderenza a queste best practice consente di prevenire gli accessi non autorizzati e gli attacchi di malware. Se si verifica un problema di sicurezza, queste procedure consigliate consentono di prepararsi per una risposta immediata, eseguire un'analisi della causa principale e gestire il processo di correzione per ripristinare le normali operazioni.

TIP
L’Adobe ha rilevato che la maggior parte degli incidenti di sicurezza si verifica quando gli attori che rappresentano una minaccia sfruttano vulnerabilità esistenti e senza patch, password inadeguate e impostazioni di proprietà e autorizzazioni inadeguate nella configurazione dell’applicazione e dell’infrastruttura Commerce. Riduci al minimo il verificarsi di problemi di sicurezza esaminando e seguendo le best practice di sicurezza di Adobe durante la configurazione e l’aggiornamento delle installazioni di Adobe Commerce. Consulta Proteggere il sito e l’infrastruttura Commerce.

Prodotti e versioni interessati

Tutte le versioni supportate di:

  • Adobe Commerce sull’infrastruttura cloud
  • Adobe Commerce on-premise

Rispondere a un incidente

Se sospetti che il progetto Adobe Commerce su infrastruttura cloud sia interessato da un problema di sicurezza, i primi passaggi critici sono i seguenti:

  • Controlla l'accesso a tutti gli account utente amministratore
  • Abilita controlli avanzati di autenticazione a più fattori (MFA)
  • Mantenere i registri critici
  • Controlla gli aggiornamenti di sicurezza per la tua versione di Adobe Commerce.

Ulteriori raccomandazioni sono descritte di seguito.

Intervenire immediatamente in caso di attacco

Nel caso sfortunato di un compromesso tra siti, ecco alcune raccomandazioni chiave da seguire:

  • Coinvolgi l’integratore di sistemi e il personale addetto alla sicurezza per condurre indagini e riparare i danni.

  • Determinare l'ambito dell'attacco:

    • È stato effettuato l'accesso alle informazioni sulla carta di credito?
    • Quali informazioni sono state rubate?
    • Quanto tempo è trascorso dal compromesso?
    • Le informazioni erano crittografate?
  • Cercare di trovare il vettore di attacco per determinare quando e come il sito è stato compromesso, esaminando i file di registro del server e le modifiche ai file.

    • In alcune circostanze, potrebbe essere consigliabile cancellare e reinstallare tutto o, nel caso di hosting virtuale, creare una nuova istanza. I malware potrebbero essere nascosti in una posizione insospettata in attesa di essere ripristinati da soli.

    • Rimuovi tutti i file non necessari. Quindi, reinstallare i file richiesti da un'origine nota e pulita. È ad esempio possibile reinstallare utilizzando i file del sistema di controllo delle versioni oppure i file di distribuzione originali di Adobe.

    • Reimposta tutte le credenziali, inclusi database, accesso ai file, integrazioni di pagamento e spedizione, servizi Web e accesso amministratore. Reimposta inoltre tutte le chiavi e gli account di integrazione e API che potrebbero essere utilizzati per attaccare il sistema.

Analizzare un problema

Il primo passo dell'analisi degli incidenti consiste nel raccogliere quante più informazioni possibili, il più rapidamente possibile. Raccogliere informazioni sull'incidente può essere utile per determinare la causa potenziale dell'incidente. Adobe Commerce fornisce gli strumenti indicati di seguito per l’analisi dei problemi.

  • Registri azioni amministrazione di controllo.

    Nel rapporto Registri azioni viene visualizzato un record dettagliato di tutte le azioni di amministrazione abilitate per la registrazione. Ogni record ha la marca temporale e registra l’indirizzo IP e il nome dell’utente. I dettagli del registro includono i dati utente amministratore e le relative modifiche apportate durante l’azione.

  • Analizzare gli eventi con Strumento Osservazione per Adobe Commerce.

    Lo strumento di osservazione per Adobe Commerce consente di analizzare problemi complessi per identificare le cause principali. Invece di tenere traccia di dati diversi, puoi dedicare più tempo alla correlazione di eventi ed errori per ottenere informazioni più approfondite sulle cause dei colli di bottiglia delle prestazioni.

    Utilizza il Sicurezza scheda nello strumento per ottenere una chiara visualizzazione dei potenziali problemi di sicurezza per aiutare a identificare le cause principali e mantenere le prestazioni dei siti ottimali.

  • Analizzare i registri con Registri New Relic

    I progetti Pro di Adobe Commerce su infrastruttura cloud includono Registri New Relic servizio. Il servizio è preconfigurato per aggregare tutti i dati di registro dagli ambienti di staging e produzione per visualizzarli in un dashboard di gestione dei registri centralizzato in cui è possibile cercare e visualizzare i dati aggregati.

    Per altri progetti Commerce, puoi impostare e utilizzare Registri New Relic servizio per completare le seguenti attività:

    • Utilizzare Query New Relic per cercare dati di registro aggregati.
    • Visualizzare i dati di registro tramite l’applicazione Registri di New Relic.

Controlla account, codice e database

Esamina gli account amministratore e utente di Commerce, il codice dell’applicazione, la configurazione del database e i registri per identificare e rimuovere il codice sospetto e garantire la sicurezza dell’accesso a account, siti e database. Quindi, ridistribuisci in base alle esigenze.

Continuare a monitorare attentamente il sito dopo l'incidente poiché molti siti vengono compromessi di nuovo in poche ore. Verifica continua del registro e monitoraggio dell'integrità dei file per rilevare rapidamente eventuali segni di nuovi compromessi.

Controlla account utente amministratore

Codice di audit

  • Dall’amministratore, controlla Configurazione intestazione e piè di pagina HTML a tutti i livelli dell'ambito, compresi website e store view. Rimuovere eventuali codici JavaScript sconosciuti dagli script e dai fogli di stile e da impostazioni HTML varie. Conserva solo il codice riconosciuto, ad esempio i frammenti di tracciamento.

  • Confrontare la base di codice di produzione corrente con la base di codice memorizzata nel sistema di controllo delle versioni (VCS, Version Control System).

  • Metti in quarantena qualsiasi codice sospetto.

  • Assicurati che non vi siano residui di codice sospetto ridistribuendo la base di codice nell’ambiente di produzione.

Controlla la configurazione del database e i registri

  • Esaminare le stored procedure per le modifiche.

  • Verifica che il database sia accessibile solo dall’istanza Commerce.

  • Verificare che il malware non sia più presente analizzando il sito con gli strumenti di scansione del malware disponibili pubblicamente.

  • Proteggi il pannello di amministrazione modificandone il nome e verificando che il sito app/etc/local.xml e var Gli URL non sono accessibili al pubblico.

  • Continuare a monitorare attentamente il sito dopo l'incidente poiché molti siti vengono compromessi di nuovo in poche ore. Verifica continua del registro e monitoraggio dell'integrità dei file per rilevare rapidamente eventuali segni di nuovi compromessi.

Rimuovi avvisi di Google

Se il sito è stato contrassegnato da Google come contenente codice dannoso, richiedi una revisione dopo la pulizia del sito. Le recensioni per i siti infetti da malware richiedono alcuni giorni. Quando Google determina che il sito è pulito, gli avvisi provenienti dai risultati della ricerca e dai browser dovrebbero scomparire entro 72 ore. Consulta Richiedi una revisione.

Controlla elenco di controllo risultati malware

Se gli strumenti di scansione del malware disponibili pubblicamente confermano un attacco di malware, indagare l'incidente. Collabora con l’integratore di soluzioni per pulire il sito e seguire il processo di correzione consigliato.

Condurre ulteriori verifiche

Quando si tratta di attacchi sofisticati, la migliore linea di azione è quella di lavorare con uno sviluppatore esperto, un esperto di terze parti o un integratore di soluzioni per riparare completamente il sito e rivedere le pratiche di sicurezza. Lavorare con professionisti esperti della sicurezza garantisce che vengano prese misure complete e avanzate per garantire la sicurezza della tua azienda e dei suoi clienti.

Informazioni aggiuntive

recommendation-more-help
754cbbf3-3a3c-4af3-b6ce-9d34390f3a60