Práticas recomendadas para responder a um incidente de segurança
O artigo a seguir resume as práticas recomendadas para responder a um incidente de segurança e corrigir problemas que afetam a disponibilidade, a confiabilidade e o desempenho do site da Adobe Commerce.
Seguir essas práticas recomendadas pode ajudar a impedir acessos não autorizados e ataques de malware. Se ocorrer um incidente de segurança, essas práticas recomendadas ajudarão você a se preparar para uma resposta imediata, realizar uma análise de causa básica e gerenciar o processo de correção para restaurar as operações normais.
Produtos e versões afetados
Todas as versões compatíveis de:
- Adobe Commerce na infraestrutura em nuvem
- Adobe Commerce no local
Responder a um incidente
Se você suspeitar que seu projeto do Adobe Commerce na infraestrutura em nuvem seja afetado por um incidente de segurança, as primeiras etapas críticas são:
- Auditoria de acesso a todas as contas de usuários administradores
- Habilitar controles avançados de autenticação multifator (MFA)
- Preservar registros críticos
- Revise as atualizações de segurança para sua versão do Adobe Commerce.
Mais recomendações são detalhadas abaixo.
Tomar medidas imediatas em caso de ataque
No caso infeliz de um compromisso do site, aqui estão algumas recomendações importantes a serem seguidas:
-
Envolva o integrador de sistemas e o pessoal de segurança apropriado para conduzir esforços de investigação e correção.
-
Determine o escopo do ataque:
- As informações de cartão de crédito foram acessadas?
- Que informações foram roubadas?
- Quanto tempo decorreu desde o compromisso?
- As informações eram criptografadas?
-
Tente encontrar o vetor de ataque para determinar quando e como o site foi comprometido, revisando os arquivos de log do servidor e as alterações nos arquivos.
-
Em determinadas circunstâncias, pode ser aconselhável limpar e reinstalar tudo ou, no caso de hospedagem virtual, criar uma nova instância. Malware pode ser escondido em um local insuspeito apenas esperando para restaurar a si mesmo.
-
Remova todos os arquivos desnecessários. Em seguida, reinstale os arquivos necessários de uma fonte conhecida e limpa. Por exemplo, você pode reinstalar usando arquivos do sistema de controle de versão ou dos arquivos de distribuição originais do Adobe.
-
Redefina todas as credenciais, incluindo o banco de dados, o acesso a arquivos, as integrações de pagamento e envio, os serviços da Web e o logon de Administrador. Além disso, redefina todas as chaves e contas de integração e API que podem ser usadas para atacar o sistema.
-
Analisar um incidente
A primeira etapa da análise de incidentes é coletar o máximo de fatos possível, o mais rápido possível. Reunir informações sobre o incidente pode ajudar a determinar a possível causa do incidente. A Adobe Commerce fornece as ferramentas abaixo para ajudar na análise de incidentes.
-
Auditoria de Logs de Ações do Administrador.
O Relatório de logs de ação exibe um registro detalhado de todas as ações administrativas que estão ativadas para fazer logon. Cada registro recebe o carimbo de data e hora e registra o endereço IP e o nome do usuário. Os detalhes do log incluem dados do usuário administrador e alterações relacionadas que foram feitas durante a ação.
-
Analisar eventos com o Observação para a ferramenta Adobe Commerce.
A ferramenta Observation for Adobe Commerce permite analisar problemas complexos para ajudar a identificar as causas raiz. Em vez de rastrear dados díspares, você pode gastar seu tempo correlacionando eventos e erros para obter insights mais profundos sobre as causas dos gargalos de desempenho.
Use o Segurança na ferramenta para obter uma visão clara dos possíveis problemas de segurança e ajudar a identificar as causas básicas e manter o desempenho ideal dos sites.
-
Analisar logs com Logs do New Relic
Os projetos Pro do Adobe Commerce em infraestrutura em nuvem incluem o Logs do New Relic serviço. O serviço é pré-configurado para agregar todos os dados de log dos ambientes de preparo e produção para exibi-los em um painel de gerenciamento de log centralizado, onde você pode pesquisar e visualizar dados agregados.
Para outros projetos do Commerce, é possível configurar e usar o Logs do New Relic serviço para concluir as seguintes tarefas:
- Uso consultas do New Relic para pesquisar dados de log agregados.
- Visualizar dados de log por meio do aplicativo New Relic Logs.
Contas de auditoria, código e banco de dados
Revise as contas de administrador e usuário do Commerce, o código do aplicativo e a configuração e os logs do banco de dados para identificar e limpar códigos suspeitos e garantir a segurança do acesso à conta, ao site e ao banco de dados. Em seguida, reimplante conforme necessário.
Continue a monitorar de perto o local após o incidente, pois muitos locais serão comprometidos novamente em horas. Garanta a análise contínua de registros e o monitoramento da integridade de arquivos para detectar rapidamente qualquer sinal de novo comprometimento.
Auditoria de contas de usuário Admin
-
Revisar o acesso do usuário administrador—Remove contas antigas, não utilizadas ou suspeitas e faz a rotação de senhas para todos os usuários administradores.
-
Revisar configurações de segurança do administrador—Verifique se as configurações de segurança do administrador seguem as práticas recomendadas de segurança.
-
Revisar contas de usuário do Adobe Commerce em projetos de infraestrutura em nuvem—Remove contas antigas, não utilizadas ou suspeitas e gira senhas para todos os usuários administradores de projetos na nuvem. Verifique se as configurações de segurança da conta estão definidas corretamente.
-
Chaves SSH de auditoria para Adobe Commerce na infraestrutura em nuvem — revise, exclua e gire chaves SSH.
Código de auditoria
-
Do Administrador, revise a variável Configuração do cabeçalho e rodapé do HTML em todos os níveis de escopo, incluindo
websiteestore view. Remova qualquer código JavaScript desconhecido das configurações de scripts e folhas de estilos e HTML diversos. Reter somente código reconhecido, como trechos de rastreamento. -
Compare a base de código de produção atual com a base de código armazenada no Sistema de controle de versão (VCS).
-
Coloque qualquer código suspeito em quarentena.
-
Certifique-se de que não haja vestígios de código suspeito reimplantando a base de código no ambiente de produção.
Auditoria de configuração e logs de banco de dados
-
Revise todos os procedimentos armazenados para modificações.
-
Verifique se o banco de dados só pode ser acessado pela instância do Commerce.
-
Verifique se não há mais malware verificando o site com ferramentas de verificação de malware publicamente disponíveis.
-
Proteja o painel Administrador alterando seu nome e verificando se o site
app/etc/local.xmlevarOs URLs não estão acessíveis publicamente. -
Continue a monitorar de perto o local após o incidente, pois muitos locais serão comprometidos novamente em horas. Garanta a análise contínua de registros e o monitoramento da integridade de arquivos para detectar rapidamente qualquer sinal de novo comprometimento.
Remover avisos do Google
Se o site tiver sido sinalizado pelo Google como contendo código mal-intencionado, solicite uma revisão depois que o site for limpo. As análises de sites infectados com malware levam alguns dias. Depois que o Google determinar que o site está limpo, os avisos dos resultados de pesquisa e dos navegadores deverão desaparecer em 72 horas. Consulte Solicitar uma revisão.
Revisar lista de verificação de resultados de malware
Se as ferramentas de verificação de malware disponíveis publicamente confirmarem um ataque de malware, investigue o incidente. Trabalhe com o integrador de soluções para limpar o site e seguir o processo de correção recomendado.
Realizar análises adicionais
Ao lidar com ataques sofisticados, o melhor curso de ação é trabalhar com um desenvolvedor experiente, um especialista terceirizado ou um integrador de soluções para reparar totalmente o site e analisar as práticas de segurança. Trabalhar com profissionais de segurança experientes garante que medidas abrangentes e avançadas sejam tomadas para garantir a segurança de sua empresa e de seus clientes.