Diventa Autore per CoreTech | Scopri di più
24/06/20 CoreTech Blog
Qualsiasi altro proprietario o webmaster di un sito Web a cui potresti chiedere chi si trova oltre la fase principiante concorderà sul fatto che una delle loro priorità principali sarà sempre mantenere i loro siti web sicuri. Tuttavia, gli exploit e gli strumenti disponibili per gli hacker sono così vasti e le tecnologie software si evolvono così rapidamente, che è molto possibile, forse probabile, che sperimenterai un sito Web compromesso.
Questo è ancora più probabile se il tuo sito web esegue un CMS open source come WordPress o Joomla! con molti plugin. In particolare, i nuovi problemi di sicurezza di WordPress compaiono abbastanza spesso e i siti di WordPress compromessi non sono affatto rari.
Quando si affronta un evento del genere, può essere utile disporre di un breve elenco di controllo delle attività da eseguire come parte del processo di recupero. Fare le cose giuste nell'ordine giusto sarà la chiave per massimizzare le tue possibilità di recupero completo e di successo, oltre a mitigare gli eventi futuri.
L'elenco delle cose da fare conterrà due tipi di attività: attività di preparazione e attività di azione. Le attività di preparazione non comportano alcuna modifica al sito Web o ai componenti correlati o sottostanti.
È essenziale comprendere chiaramente questo punto perché la prima azione preferita deve essere quella di assicurarsi che l'attaccante non abbia modo di continuare ad accedere al sistema; qualsiasi altra azione che modifichi il sito Web può avvisare l'attaccante che sono stati scoperti prima che l'accesso sia stato bloccato e non si desidera innescare l'attaccante nel causare più danni o nel coprire le proprie tracce.
Ricorda: una volta che l'evento si è verificato, deve essere trattato non solo come un motivo per risolvere ma anche come una motivazione per indurire e proteggere.
Mantieni la calma e la concentrazione e riconosci che l'evento potrebbe essere accaduto qualche tempo fa; non importa se reagisci dopo 30 secondi o dopo 15 minuti.
Una volta che il tuo sito web è stato violato, è assolutamente necessario dedicare qualche minuto a riflettere sulle cose per ottenere il massimo dall'incidente. Prenditi il tempo necessario per annotare tutti i passaggi necessari per:
Se vai in battaglia, devi assicurarti che il tuo arsenale sia popolato da un arsenale completo di armi. Fondamentalmente, questo significa avere a portata di mano:
La tua prima azione dovrebbe essere quella di portare il tuo sistema offline. I vantaggi sono:
Prima di poter mettere offline il tuo sistema, assicurati di aver compilato con cura il foglio di battaglia con tutte le informazioni necessarie per continuare ad accedere al sistema, anche se sarà offline.
I passaggi specifici che è necessario eseguire per portare il sistema offline dipendono dal fatto che si stia utilizzando una società di hosting o se il proprio host web si trova presso la propria sede.
Alcune delle tue attività di indagine implicheranno l'esecuzione di test sul tuo sito Web per capire dove e come può essere penetrato (da qui le frasi coniate "pen test" e " pen test "). Alcuni di questi test possono essere aggressivi e causare danni al sito Web o ai suoi dati sottostanti o, in questo caso, a eventuali artefatti lasciati sul sistema dall'aggressore, che potrebbero portarti alla loro identità, metodologia o entrambi.
Per eliminare gli effetti di questi rischi, clonerai il tuo sistema su un banco di prova o server di staging completamente separato. Questo banco di prova non deve trovarsi in un provider di hosting perché deve essere isolato da qualsiasi spazio di indirizzi IP pubblico per assicurarsi che il sistema clonato non sia raggiungibile dall'esterno e che il sistema clonato non possa accedere o influire su terze parti. Qualsiasi sistema utilizzato per testare il sistema clonato si collegherebbe allo stesso spazio di indirizzi IP privato del clone allo scopo di eseguire i test.
Una volta popolato il tuo banco di prova con un clone del tuo sito Web e dei componenti correlati, puoi testare in sicurezza il tuo sistema.
In genere si utilizza un approccio a due punte, in esecuzione contemporaneamente:
Il primo canale di indagine sarebbe quello di utilizzare un approccio di audit di sistema - utilizzando uno scanner di vulnerabilità Web affidabile, avviare una scansione sul banco di prova clonato, che dovrebbe eseguire le seguenti operazioni:
Questo scanner ti fornirà un elenco di vulnerabilità a cui il tuo sito Web è sensibile. Questo tipo di scansione può richiedere molto tempo, in particolare per siti Web di grandi dimensioni e complessi. Puoi usare questo tempo di "attesa" per ...
È fondamentale trovare l'effettivo punto di ingresso che ha attivato questo evento. Anche se si eseguisse un ripristino completo da un backup che eliminasse qualsiasi danno causato dall'attaccante, è ragionevole supporre che l'attaccante possa ottenere di nuovo molto rapidamente l'accesso utilizzando lo stesso identico veicolo.
Dove cercare? Questo non è un elenco esaustivo e, man mano che cresci in esperienza e acquisisci una maggiore familiarità con i sistemi specifici che gestisci, sarai in grado di creare un elenco più completo e specifico per le tue esigenze. L'elenco seguente, tuttavia, presenta un punto di partenza utilizzabile. Tieni presente che le azioni investigative di questo particolare elenco vengono eseguite sul server web reale, non sul banco di prova, quindi per il momento è importante che le tue manovre siano limitate all'indagine e alla raccolta di informazioni - non apportare modifiche per il tempo essere.
Si spera che la tua scrupolosa indagine sui file di registro, sui processi in esecuzione e sul contenuto anomalo del filesystem ti abbia permesso di identificare il difetto di sicurezza e il punto di ingresso.
Se hai identificato uno o più punti di ingresso sospetti, può essere interessante e istruttivo confrontare i tuoi risultati con l'elenco delle vulnerabilità identificate dalla scansione automatica delle vulnerabilità del web.
Utilizzando le informazioni acquisite dall'indagine manuale di file, processi e registri, insieme all'elenco (si spera breve) delle vulnerabilità compilato dallo scanner delle vulnerabilità del web, è ora possibile procedere con l'implementazione dei miglioramenti del codice o degli aggiornamenti del server e della protezione per impedire tale un evento che si ripete e collega eventuali altri punti deboli, in generale rendendo il tuo sito web più sicuro. Riassumendo brevemente:
Ciò può sembrare ovvio, ma è di fondamentale importanza controllare eventuali correzioni implementate ripetendo la scansione automatizzata, confermando così che le correzioni sono effettivamente efficaci.
Ora che la pulizia è stata completata, i file e i processi sospetti sono stati arrestati ed eliminati, i punti di ingresso sono stati protetti e sono in atto altre misure di sicurezza, è possibile riportare il sito Web online.
In caso di dubbi sul fatto di aver completamente contenuto e invertito il lavoro dell'attaccante, è necessario distribuire un nuovo host del server Web e ridistribuire il sito Web igienizzato e i componenti ausiliari a questo nuovo host. Se esegui un CMS open source come un sito Web WordPress, potrebbe anche essere una buona idea installare la versione più recente da zero con un numero limitato di plug-in (utilizzando anche le versioni più recenti).
Il tuo sito Web è di backup e in esecuzione. Non respirare troppo facilmente, tuttavia, perché è necessario assicurarsi che le correzioni siano efficaci. In particolare, è necessario escogitare un modo (ad esempio monitorando i messaggi di registro) per disporre di un sistema di allarme rapido di un utente malintenzionato che tenta di accedere al sistema tramite lo stesso vettore di accesso dell'evento appena risolto.
Se l'attaccante riesce a rientrare, allora non hai identificato correttamente il punto di ingresso o non li hai identificati tutti oppure la correzione è inadeguata; in ogni caso, dovrai ripetere il processo per ripristinare nuovamente da questo ultimo evento di hacking.
Dopo esserti completamente ripreso da questo evento e aver completato tutte le attività correlate a questo evento, dovresti rivedere questa sezione, rivedere il Piano di reazione che hai creato per questo evento e utilizzarlo per creare una procedura di recupero per qualsiasi evento futuro.
Ciò consentirà a te e agli altri membri del tuo team di supporto di gestire in modo più efficace ed efficiente il tuo prossimo evento.