Práticas recomendadas para responder a um incidente de segurança

Envolva o integrador de sistemas e o pessoal de segurança apropriado para conduzir esforços de investigação e correção.

Determine o escopo do ataque:

• As informações de cartão de crédito foram acessadas?
• Que informações foram roubadas?
• Quanto tempo decorreu desde o compromisso?
• As informações eram criptografadas?

Tente encontrar o vetor de ataque para determinar quando e como o site foi comprometido, revisando os arquivos de log do servidor e as alterações nos arquivos.

• Em determinadas circunstâncias, pode ser aconselhável limpar e reinstalar tudo ou, no caso de hospedagem virtual, criar uma nova instância. Malware pode ser escondido em um local insuspeito apenas esperando para restaurar a si mesmo.

• Remova todos os arquivos desnecessários. Em seguida, reinstale os arquivos necessários de uma fonte conhecida e limpa. Por exemplo, você pode reinstalar usando arquivos do sistema de controle de versão ou dos arquivos de distribuição originais do Adobe.

• Redefina todas as credenciais, incluindo o banco de dados, o acesso a arquivos, as integrações de pagamento e envio, os serviços da Web e o logon de Administrador. Além disso, redefina todas as chaves e contas de integração e API que podem ser usadas para atacar o sistema.

Auditoria de Logs de Ações do Administrador.

O Relatório de logs de ação exibe um registro detalhado de todas as ações administrativas que estão ativadas para fazer logon. Cada registro recebe o carimbo de data e hora e registra o endereço IP e o nome do usuário. Os detalhes do log incluem dados do usuário administrador e alterações relacionadas que foram feitas durante a ação.

Analise eventos com a ferramenta Observation for Adobe Commerce.

A ferramenta Observation for Adobe Commerce permite analisar problemas complexos para ajudar a identificar as causas raiz. Em vez de rastrear dados díspares, você pode gastar seu tempo correlacionando eventos e erros para obter insights mais profundos sobre as causas dos gargalos de desempenho.

Use a guia Segurança da ferramenta para obter uma visão clara dos possíveis problemas de segurança e ajudar a identificar as causas raiz e manter os sites com desempenho ideal.

Analisar logs com Logs do New Relic

Os projetos Pro do Adobe Commerce na infraestrutura em nuvem incluem o serviço Logs do New Relic. O serviço é pré-configurado para agregar todos os dados de log dos ambientes de preparo e produção para exibi-los em um painel de gerenciamento de log centralizado, onde você pode pesquisar e visualizar dados agregados.

Para outros projetos da Commerce, você pode configurar e usar o serviço Logs do New Relic para concluir as seguintes tarefas:

• Use consultas New Relic para pesquisar dados de log agregados.
• Visualizar dados de log por meio do aplicativo New Relic Logs.

Revisar acesso de usuário Administrador—Remova contas antigas, não utilizadas ou suspeitas e alterne senhas para todos os usuários Administradores.

Revisar configurações de segurança do administrador — Verifique se as configurações de segurança do administrador seguem as práticas recomendadas de segurança.

Revisar contas de usuário do Adobe Commerce em projetos de infraestrutura em nuvem—Remover contas antigas, não utilizadas ou suspeitas e girar senhas para todos os usuários administradores de projetos em nuvem. Verifique se as configurações de segurança da conta estão definidas corretamente.

Auditoria de chaves SSH para Adobe Commerce na infraestrutura em nuvem — revisão, exclusão e rotação de chaves SSH.

Do Administrador, examine a configuração do Cabeçalho e Rodapé de HTML em todos os níveis de escopo, incluindo website e store view. Remova qualquer código JavaScript desconhecido das configurações de scripts e folhas de estilos e de HTML diversos. Reter somente código reconhecido, como trechos de rastreamento.

Compare a base de código de produção atual com a base de código armazenada no Sistema de controle de versão (VCS).

Coloque qualquer código suspeito em quarentena.

Certifique-se de que não haja vestígios de código suspeito reimplantando a base de código no ambiente de produção.

Revise todos os procedimentos armazenados para modificações.

Verifique se o banco de dados está acessível somente pela instância do Commerce.

Verifique se não há mais malware verificando o site com ferramentas de verificação de malware publicamente disponíveis.

Proteja o painel Administrador alterando seu nome e verificando se as URLs do site app/etc/local.xml e var não estão acessíveis publicamente.

Continue a monitorar de perto o local após o incidente, pois muitos locais serão comprometidos novamente em horas. Garanta a análise contínua de registros e o monitoramento da integridade de arquivos para detectar rapidamente qualquer sinal de novo comprometimento.