Aanbevolen procedures om te reageren op een beveiligingsincident

In het volgende artikel worden de aanbevolen procedures beschreven om te reageren op een beveiligingsincident en om problemen op te lossen die gevolgen hebben voor de beschikbaarheid, betrouwbaarheid en prestaties van de Adobe Commerce-site.

Het volgen van deze beste praktijken kan helpen onbevoegde toegang en malware aanvallen verhinderen. Als een veiligheidsincident voorkomt, helpen deze beste praktijken u op een directe reactie voorbereiden, een analyse van de worteloorzaak uitvoeren, en het saneringsproces beheren om normale verrichtingen te herstellen.

TIP
De Adobe heeft gevonden dat de meeste veiligheidsincidenten voorkomen wanneer de bedreigingsactoren voordeel halen uit bestaande, ongepatcheerde kwetsbaarheid, slechte wachtwoorden, en zwakke eigendom en toestemmingsmontages in de toepassing van de Handel en infrastructuurconfiguratie. Minimaliseer het voorkomen van veiligheidsincidenten door de beste praktijken van de veiligheid van de Adobe te herzien en te volgen wanneer vestiging, het vormen, en het bijwerken van de installaties van Adobe Commerce. Zie Beveilig uw plaats van de Handel en infrastructuur.

Betrokken producten en versies

Alle ondersteunde versies van:

  • Adobe Commerce over cloudinfrastructuur
  • Adobe Commerce ter plaatse

Reageren op een incident

Als u vermoedt dat een beveiligingsincident gevolgen heeft voor uw Adobe Commerce-infrastructuurproject voor de cloud, zijn de belangrijkste eerste stappen:

  • Toegang tot alle beheerdersgebruikersaccounts controleren
  • Geavanceerde MFA-besturingselementen (Multi-Factory Authentication) inschakelen
  • Kritieke logbestanden behouden
  • Controleer de beveiligingsupgrades voor uw versie van Adobe Commerce.

Hieronder vindt u meer aanbevelingen.

Onmiddellijk actie ondernemen in geval van een aanval

In het ongelukkige geval van een plaatscompromis, zijn er enkele belangrijke aanbevelingen te volgen:

  • Inschakeling van uw systeemintegrator en het juiste beveiligingspersoneel voor het uitvoeren van onderzoeks- en herstelwerkzaamheden.

  • Bepaal het werkingsgebied van de aanval:

    • Werd toegang verkregen tot creditcardgegevens?
    • Welke informatie is gestolen?
    • Hoeveel tijd is er verstreken sinds het compromis?
    • Is de informatie versleuteld?
  • Zoek de aanvalsvector om te bepalen wanneer en hoe de site is gecompromitteerd door de logbestanden van de server en de bestandswijzigingen te controleren.

    • In bepaalde omstandigheden kan het raadzaam zijn alles te wissen en opnieuw te installeren of, in het geval van virtuele hosting, een nieuwe instantie te maken. Malware kan op een onvermoede locatie worden verborgen, maar dan alleen maar wachten om zichzelf te herstellen.

    • Verwijder alle overbodige bestanden. Vervolgens installeert u de vereiste bestanden opnieuw vanuit een bekende, schone bron. U kunt bijvoorbeeld opnieuw installeren met behulp van bestanden van het versiebeheersysteem of de oorspronkelijke distributiebestanden van de Adobe.

    • Alle referenties opnieuw instellen, inclusief de database, bestandstoegang, betalings- en verzendintegratie, webservices en de aanmeldingsgegevens voor Admin. Herstel ook alle integratie en API sleutels en rekeningen die zouden kunnen worden gebruikt om het systeem aan te vallen.

Een incident analyseren

De eerste stap van de analyse van incidenten is om zoveel mogelijk feiten te verzamelen, zo snel mogelijk. Het verzamelen van informatie over het incident kan helpen de potentiële oorzaak van het incident te bepalen. Adobe Commerce biedt de onderstaande tools voor hulp bij uw analyse van incidenten.

  • Handelingenlogboeken voor Beheer controleren.

    In het rapport Handelingenlogboeken wordt een gedetailleerd overzicht weergegeven van alle beheeracties die zijn ingeschakeld voor loggen. Elke record heeft een tijdstempel en registreert het IP-adres en de naam van de gebruiker. Het logboekgegeven omvat admin gebruikersgegevens en verwante veranderingen die tijdens de actie werden aangebracht.

  • Gebeurtenissen analyseren met de Waarneming voor Adobe Commerce.

    Met het gereedschap Waarnemen voor Adobe Commerce kunt u complexe problemen analyseren om de onderliggende oorzaken te achterhalen. In plaats van het bijhouden van ongelijke gegevens kunt u tijd besteden aan het correleren van gebeurtenissen en fouten om dieper inzicht te krijgen in de oorzaken van knelpunten in de prestaties.

    Gebruik de Beveiliging in het hulpmiddel om een duidelijke mening van potentiële veiligheidskwesties te krijgen helpen worteloorzaken identificeren en plaatsen optimaal te houden.

  • Logbestanden analyseren met New Relic Logs

    Tot de Adobe Commerce on cloud Infrastructure Pro-projecten behoren New Relic Logs service. De dienst wordt pre-gevormd om alle logboekgegevens van uw het Opvoeren en milieu's van de Productie samen te voegen om het in een gecentraliseerd logboekbeheersdashboard te tonen waar u samengevoegde gegevens kunt zoeken en visualiseren.

    Voor andere Commerce-projecten kunt u de New Relic Logs de dienst om de volgende taken te voltooien:

    • Gebruiken New Relic-query's om geaggregeerde loggegevens te zoeken.
    • Loggegevens visualiseren via New Relic Logs.

Audit accounts, code en database

Admin van de Handel van het overzicht en gebruikersrekeningen, toepassingscode, en gegevensbestandconfiguratie en logboeken om verdachte code te identificeren en op te schonen en de veiligheid van rekening, plaats, en gegevensbestandtoegang te verzekeren. Vervolgens kunt u desgewenst opnieuw implementeren.

Blijf de site nauwlettend volgen na het incident, aangezien veel sites binnen enkele uren weer gecompromitteerd raken. Zorg voor doorlopende logboekcontrole en controle van de bestandsintegriteit om snel tekenen van nieuwe compromissen te detecteren.

Gebruikersaccounts van Admin controleren

Controlecode

  • Reviseer vanuit de beheerder de Configuratie van HTML-koptekst en -voettekst op alle niveaus, met inbegrip van website en store view. Verwijder alle onbekende JavaScript-code uit de scripts en stijlpagina's en andere HTML-instellingen. Alleen herkende code zoals tekstfragmenten bijhouden.

  • Vergelijk de huidige basis van de productiecode met de codebasis die in het Systeem van de Controle van de Versie (VCS) wordt opgeslagen.

  • Let op elke verdachte code.

  • Zorg ervoor dat er geen restanten van verdachte code zijn door codebase aan het productiemilieu opnieuw op te stellen.

Configuratie en logbestanden van databases controleren

  • Controleer eventuele opgeslagen procedures voor wijzigingen.

  • Verifieer dat het gegevensbestand slechts door de instantie van de Handel toegankelijk is.

  • Controleer of malware niet meer aanwezig is door de site te scannen met algemeen beschikbare hulpprogramma's voor malware-scannen.

  • Beveilig het deelvenster Beheer door de naam te wijzigen en te controleren of de site app/etc/local.xml en var URL's zijn niet openbaar toegankelijk.

  • Blijf de site nauwlettend volgen na het incident, aangezien veel sites binnen enkele uren weer gecompromitteerd raken. Zorg voor doorlopende logboekcontrole en controle van de bestandsintegriteit om snel tekenen van nieuwe compromissen te detecteren.

Google-waarschuwingen verwijderen

Als de site door Google is gemarkeerd als een locatie met kwaadaardige code, vraagt u om een revisie zodra de site is gereinigd. Het duurt een paar dagen voordat sites die met malware zijn besmet, zijn gecontroleerd. Nadat Google heeft vastgesteld dat de site schoon is, worden waarschuwingen uit zoekresultaten weergegeven en verdwijnen de browsers binnen 72 uur. Zie Verzoek om herziening.

Controlelijst voor malwaresultaten controleren

Als de openbaar beschikbare hulpmiddelen van het malwareaftasten een malware aanval bevestigen, onderzoek het incident. Werk met de oplossingenintegrator om de site schoon te maken en volg het aanbevolen herstelproces.

Aanvullende beoordelingen uitvoeren

Wanneer het behandelen van verfijnde aanvallen, is de beste manier van actie met een ervaren ontwikkelaar, een derde deskundige, of oplossingenintegrator te werken om de plaats volledig te herstellen en veiligheidspraktijken te herzien. Het werken met ervaren veiligheidsberoeps zorgt ervoor dat de uitvoerige, geavanceerde maatregelen worden genomen om de veiligheid van uw zaken en zijn klanten te verzekeren.

Aanvullende informatie

recommendation-more-help
754cbbf3-3a3c-4af3-b6ce-9d34390f3a60