回應安全性事件的最佳實務

請您的系統整合商和適當的安全人員參與調查和補救工作。

判斷攻擊的範圍：

• 是否存取過信用卡資訊？
• 哪些資訊遭竊？
• 妥協後已經過了多少時間？
• 資訊是否已加密？

請檢閱伺服器記錄檔和檔案變更，嘗試尋找攻擊向量，以判斷網站何時及如何遭到破壞。

• 在特定情況下，建議清除並重新安裝所有專案，或在虛擬託管的情況下，建立全新的執行個體。 惡意程式碼可能隱藏在不受懷疑的位置，只是等待自我還原。

• 移除所有不必要的檔案。 然後，從已知乾淨的來源重新安裝所需的檔案。 例如，您可以使用版本控制系統中的檔案，或從Adobe的原始散發檔案來重新安裝。

• 重設所有認證，包括資料庫、檔案存取、付款和運送整合、網站服務以及管理員登入。 同時重設所有可能用來攻擊系統的整合及API金鑰和帳戶。

稽核管理員動作記錄檔。

「動作記錄報表」會顯示所有已啟用記錄功能的管理員動作的詳細記錄。 每個記錄都加蓋時間戳記，並註冊使用者的IP位址和名稱。 記錄詳細資訊包括管理員使用者資料以及在動作期間完成的相關變更。

使用Adobe Commerce工具🔗的觀察分析事件。

Adobe Commerce觀察工具可讓您分析複雜的問題，協助找出根本原因。 與其追蹤不同的資料，您可以花時間將事件和錯誤建立關聯，以更深入地瞭解效能瓶頸的成因。

使用工具中的​ 安全性 ​索引標籤，以清楚檢視潛在的安全性問題，協助找出根本原因，讓網站維持最佳效能。

分析包含New Relic記錄檔的記錄檔

雲端基礎結構上的Adobe Commerce Pro專案包含New Relic記錄檔服務。 此服務已預先設定為彙總來自測試和生產環境的所有記錄資料，以便在集中式記錄管理控制面板中顯示，您可在此搜尋和視覺化彙總的資料。

對於其他Commerce專案，您可以設定並使用New Relic記錄檔服務來完成下列工作：

• 使用New Relic查詢來搜尋彙總記錄檔資料。
• 透過New Relic記錄檔應用程式以視覺效果呈現記錄檔資料。

檢閱管理員使用者存取權 — 移除舊的、未使用的或可疑的帳號，並為所有管理員使用者輪換密碼。

檢閱管理員安全性設定 — 確認管理員安全性設定遵循安全性最佳實務。

在雲端基礎結構專案上檢閱Adobe Commerce的使用者帳戶 — 移除舊的、未使用的或可疑的帳戶，並為所有雲端專案管理員使用者輪換密碼。 請確定已正確設定帳戶安全性設定。

在雲端基礎結構上稽核Adobe Commerce的SSH金鑰 — 檢閱、刪除和輪換SSH金鑰。

從Admin檢閱所有範圍層級（包括website和store view）中的HTML頁首與頁尾設定。 從指令碼和樣式表中移除任何未知的JavaScript程式碼，以及其他HTML設定。 僅保留可辨識的程式碼，例如追蹤代碼片段。

將目前的生產程式碼庫與儲存在版本控制系統(VCS)中的程式碼庫進行比較。

隔離任何可疑的代碼。

將程式碼基底重新部署至生產環境，確保沒有可疑程式碼殘留。

檢閱任何預存程式以進行修改。

確認只有Commerce執行個體才能存取資料庫。

使用公開可用的惡意程式碼掃描工具掃描網站，以確認惡意程式碼已不存在。

變更Admin面板的名稱，並確認網站app/etc/local.xml和var URL無法公開存取，以保護該面板。

發生事件後，請繼續密切監視網站，因為許多網站在數小時內會再次受到危害。 確保持續進行記錄檢閱和檔案完整性監控，以快速偵測任何新的危害跡象。