DokumentationHandelImplementera spelningsbok

Bästa tillvägagångssätt för att hantera säkerhetstillbud

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Skapat för:

  • Erfaren
  • Administratör
  • Utvecklare

I följande artikel sammanfattas de effektivaste strategierna för att hantera säkerhetsincidenter och åtgärda problem som påverkar tillgängligheten, tillförlitligheten och prestandan för Adobe Commerce-webbplatser.

Om du följer dessa standarder kan du förhindra obehörig åtkomst och skadliga programattacker. Om en säkerhetsincident inträffar hjälper dessa bästa metoder dig att förbereda dig för en omedelbar reaktion, utföra en analys av grundorsaken och hantera reparationsprocessen för att återställa normala åtgärder.

TIP
Adobe har upptäckt att de flesta säkerhetsincidenter inträffar när hotskådespelare drar nytta av befintliga, ej patchade säkerhetsluckor, dåliga lösenord och svaga ägar- och behörighetsinställningar i Commerce program- och infrastrukturkonfiguration. Minimera antalet säkerhetstillbud genom att granska och följa de bästa säkerhetsrutinerna för Adobe när du konfigurerar, konfigurerar och uppdaterar Adobe Commerce-installationer. Se Skydda din Commerce-webbplats och infrastruktur.

Berörda produkter och versioner

Alla versioner som stöds av:

  • Adobe Commerce i molninfrastruktur
  • Adobe Commerce lokalt

Svara på en incident

Om du misstänker att ditt Adobe Commerce-projekt för molninfrastruktur påverkas av en säkerhetsincident är följande viktiga första steg:

  • Granska åtkomst till alla administratörsanvändarkonton
  • Aktivera avancerade MFA-kontroller (Multi-factor authentication)
  • Bevara kritiska loggar
  • Granska säkerhetsuppgraderingar för din version av Adobe Commerce.

Fler rekommendationer finns nedan.

Vidta omedelbara åtgärder i händelse av en attack

I den olyckliga händelse att sajten inte fungerar är följande viktiga rekommendationer att följa:

  • Engagera systemintegratören och lämplig säkerhetspersonal för att genomföra utredningar och åtgärder.

  • Bestäm omfattningen av attacken:

    • Användes kreditkortsinformation?
    • Vilken information stals?
    • Hur lång tid har gått sedan kompromissen?
    • Krypterades informationen?

  • Försök att hitta attackvektorn för att avgöra när och hur platsen komprometterades genom att granska serverloggfiler och filändringar.

    • Under vissa omständigheter kan det vara tillrådligt att svepa och installera om allt eller skapa en ny instans om det är en virtuell värdtjänst. Skadlig kod kan döljas på en plats som inte misstänks, bara i väntan på att återställas.

    • Ta bort alla onödiga filer. Installera sedan om nödvändiga filer från en känd, ren källa. Du kan till exempel installera om med hjälp av filer från versionskontrollsystemet eller från de ursprungliga distributionsfilerna från Adobe.

    • Återställ alla autentiseringsuppgifter, inklusive databas-, filåtkomst-, betalnings- och leveransintegreringar, webbtjänster och administratörsinloggning. Återställ även alla integrerings- och API-nycklar och konton som kan användas för att attackera systemet.

Analysera en incident

Det första steget i incidentanalysen är att samla in så många fakta som möjligt, så snabbt du kan. Genom att samla in information kring incidenten kan det bli lättare att fastställa den potentiella orsaken till incidenten. Adobe Commerce tillhandahåller verktygen nedan som kan underlätta incidentanalysen.

  • Granska administratörsåtgärdsloggar.

    Rapporten Åtgärdsloggar innehåller en detaljerad beskrivning av alla administratörsåtgärder som har aktiverats för loggning. Varje post är tidstämplad och registrerar användarens IP-adress och namn. Logginformationen innehåller administratörsanvändardata och relaterade ändringar som gjordes under åtgärden.

  • Analysera händelser med verktyget Observation for Adobe Commerce.

    Med verktyget Observation for Adobe Commerce kan du analysera komplexa problem för att identifiera rotorsaker. Istället för att spåra olika data kan ni lägga tid på att korrelera händelser och fel för att få djupare insikter i orsakerna till flaskhalsar i prestandan.

    Använd fliken Säkerhet i verktyget för att få en tydlig bild av potentiella säkerhetsproblem som hjälper till att identifiera rotorsaker och se till att webbplatserna fungerar optimalt.

  • Analysera loggar med New Relic-loggar

    Adobe Commerce i molninfrastrukturproprojekt innehåller tjänsten New Relic Logs. Tjänsten är förkonfigurerad för att samla alla loggdata från dina miljö för förproduktion och produktion och visa dem på en central kontrollpanel för logghantering där du kan söka efter och visualisera aggregerade data.

    För andra Commerce-projekt kan du konfigurera och använda tjänsten New Relic Logs för att utföra följande uppgifter:

    • Använd New Relic-frågor för att söka efter aggregerade loggdata.
    • Visualisera loggdata via programmet New Relic Logs.

Granskningskonton, kod och databas

Granska Commerce Admin och användarkonton, programkod och databaskonfiguration samt loggar för att identifiera och åtgärda misstänkt kod och säkerställa säkerheten för konto-, webbplats- och databasåtkomst. Distribuera sedan om det behövs.

Fortsätt att noga övervaka webbplatsen efter incidenten eftersom många webbplatser på nytt komprometteras inom några timmar. Se till att logggranskningen och filintegritetsövervakningen sker kontinuerligt för att snabbt upptäcka tecken på nya kompromisser.

Granska administratörens användarkonton

Granskningskod

  • Gå till konfigurationen HTML för sidhuvud och sidfot i Admin i alla omfångsnivåer, inklusive website och store view. Ta bort okänd JavaScript-kod från skript och formatmallar samt olika HTML-inställningar. Behåll endast identifierad kod som spårningsfragment.

  • Jämför den aktuella produktionskodbasen med kodbasen som lagras i Version Control System (VCS).

  • Karantän all misstänkt kod.

  • Se till att det inte finns några kvar misstänkt kod genom att omdistribuera kodbasen till produktionsmiljön.

Granska databaskonfiguration och loggar

  • Granska alla lagrade procedurer för ändringar.

  • Kontrollera att databasen bara är tillgänglig för Commerce-instansen.

  • Kontrollera att det inte längre finns någon skadlig kod genom att skanna webbplatsen med offentligt tillgängliga skanningsverktyg för skadlig kod.

  • Skydda administrationspanelen genom att ändra dess namn och verifiera att URL:erna för webbplatsen app/etc/local.xml och var inte är tillgängliga för alla.

  • Fortsätt att noga övervaka webbplatsen efter incidenten eftersom många webbplatser på nytt komprometteras inom några timmar. Se till att logggranskningen och filintegritetsövervakningen sker kontinuerligt för att snabbt upptäcka tecken på nya kompromisser.

Ta bort Google-varningar

Om Google har flaggat webbplatsen som innehåller skadlig kod begär du en granskning när webbplatsen har rensats. Det kan ta några dagar att granska webbplatser som infekterats med skadlig kod. När Google har fastställt att webbplatsen är ren bör varningar från sökresultaten och webbläsare försvinna inom 72 timmar. Se Begär en granskning.

Granska checklista för resultat av skadlig programvara

Om de allmänt tillgängliga verktygen för sökning efter skadlig kod bekräftar en skadlig kod-attack, bör du undersöka incidenten. Arbeta med lösningsintegratören för att rensa webbplatsen och följa den rekommenderade reparationsprocessen.

Genomför ytterligare granskningar

När du hanterar sofistikerade attacker är det bästa sättet att agera att samarbeta med en erfaren utvecklare, en tredjepartsexpert eller en lösningsintegratör för att helt reparera webbplatsen och granska säkerhetsrutiner. Genom att samarbeta med erfarna säkerhetspersonal kan du säkerställa att omfattande och avancerade åtgärder vidtas för att säkerställa säkerheten för ditt företag och dess kunder.

Ytterligare information

recommendation-more-help
754cbbf3-3a3c-4af3-b6ce-9d34390f3a60