Best practice per rispondere a un problema di sicurezza

Coinvolgi l’integratore di sistemi e il personale addetto alla sicurezza per condurre indagini e riparare i danni.

Determinare l'ambito dell'attacco:

• È stato effettuato l'accesso alle informazioni sulla carta di credito?
• Quali informazioni sono state rubate?
• Quanto tempo è trascorso dal compromesso?
• Le informazioni erano crittografate?

Cercare di trovare il vettore di attacco per determinare quando e come il sito è stato compromesso, esaminando i file di registro del server e le modifiche ai file.

• In alcune circostanze, potrebbe essere consigliabile cancellare e reinstallare tutto o, nel caso di hosting virtuale, creare una nuova istanza. I malware potrebbero essere nascosti in una posizione insospettata in attesa di essere ripristinati da soli.

• Rimuovi tutti i file non necessari. Quindi, reinstallare i file richiesti da un'origine nota e pulita. È possibile, ad esempio, reinstallare utilizzando i file del sistema di controllo delle versioni o i file di distribuzione originali di Adobe.

• Reimposta tutte le credenziali, inclusi database, accesso ai file, integrazioni di pagamento e spedizione, servizi Web e accesso amministratore. Reimposta inoltre tutte le chiavi e gli account di integrazione e API che potrebbero essere utilizzati per attaccare il sistema.

Registri azioni azioni amministrazione controllo.

Nel rapporto Registri azioni viene visualizzato un record dettagliato di tutte le azioni di amministrazione abilitate per la registrazione. Ogni record ha la marca temporale e registra l’indirizzo IP e il nome dell’utente. I dettagli del registro includono i dati utente amministratore e le relative modifiche apportate durante l’azione.

Analizzare gli eventi con lo strumento Osservazione per Adobe Commerce.

Lo strumento di osservazione per Adobe Commerce consente di analizzare problemi complessi per identificare le cause principali. Invece di tenere traccia di dati diversi, puoi dedicare più tempo alla correlazione di eventi ed errori per ottenere informazioni più approfondite sulle cause dei colli di bottiglia delle prestazioni.

Utilizza la scheda Sicurezza nello strumento per ottenere una chiara visualizzazione dei potenziali problemi di sicurezza per aiutare a identificare le cause principali e mantenere le prestazioni dei siti ottimali.

Analizza i registri con Registri New Relic

I progetti Adobe Commerce su infrastruttura cloud Pro includono il servizio Registri New Relic. Il servizio è preconfigurato per aggregare tutti i dati di registro dagli ambienti di staging e produzione per visualizzarli in un dashboard di gestione dei registri centralizzato in cui è possibile cercare e visualizzare i dati aggregati.

Per altri progetti Commerce, puoi impostare e utilizzare il servizio Registri New Relic per completare le seguenti attività:

• Utilizza query New Relic per cercare dati di registro aggregati.
• Visualizzare i dati di registro tramite l’applicazione Registri di New Relic.

Controlla accesso utente amministratore: consente di rimuovere account vecchi, inutilizzati o sospetti e di ruotare le password per tutti gli utenti amministratore.

Rivedi impostazioni di sicurezza amministratore—Verifica che le impostazioni di sicurezza amministratore seguano le best practice di sicurezza.

Verifica account utente per Adobe Commerce su progetti di infrastruttura cloud: rimuovi account vecchi, inutilizzati o sospetti e ruota le password per tutti gli utenti amministratori di progetti cloud. Verifica che le impostazioni di sicurezza dell’account siano configurate correttamente.

Verifica chiavi SSH per Adobe Commerce sull'infrastruttura cloud: verifica, elimina e ruota chiavi SSH.

Dall'amministratore, esaminare la configurazione di intestazione e piè di pagina di HTML in tutti i livelli di ambito, inclusi website e store view. Rimuovere eventuali codici JavaScript sconosciuti dagli script e dai fogli di stile e da varie impostazioni di HTML. Conserva solo il codice riconosciuto, ad esempio i frammenti di tracciamento.

Confrontare la base di codice di produzione corrente con la base di codice memorizzata nel sistema di controllo delle versioni (VCS, Version Control System).

Metti in quarantena qualsiasi codice sospetto.

Assicurati che non vi siano residui di codice sospetto ridistribuendo la base di codice nell’ambiente di produzione.

Esaminare le stored procedure per le modifiche.

Verificare che il database sia accessibile solo dall'istanza di Commerce.

Verificare che il malware non sia più presente analizzando il sito con gli strumenti di scansione del malware disponibili pubblicamente.

Proteggere il pannello di amministrazione modificandone il nome e verificando che gli URL del sito app/etc/local.xml e var non siano accessibili al pubblico.

Continuare a monitorare attentamente il sito dopo l'incidente poiché molti siti vengono compromessi di nuovo in poche ore. Verifica continua del registro e monitoraggio dell'integrità dei file per rilevare rapidamente eventuali segni di nuovi compromessi.