In threatscape di oggi, software antimalware fornisce poca pace della mente. In effetti, gli scanner antimalware sono orribilmente imprecisi, specialmente con exploit meno di 24 ore. Hacker malintenzionati e malware possono cambiare le loro tattiche a volontà. Scambia alcuni byte e un programma malware precedentemente riconosciuto diventa irriconoscibile., Tutto quello che devi fare è scaricare qualsiasi file sospetto di malware su VirusTotal di Google, che ha oltre 60 diversi scanner antimalware, per vedere che i tassi di rilevamento non sono tutti come pubblicizzati.
Per combattere questo, molti programmi antimalware monitorano i comportamenti dei programmi, spesso chiamati euristiche, per catturare malware precedentemente non riconosciuti. Altri programmi utilizzano ambienti virtualizzati, monitoraggio del sistema, rilevamento del traffico di rete e tutto quanto sopra per essere più precisi. Eppure ci deludono regolarmente. Se non riescono, è necessario sapere come individuare il malware che ha ottenuto attraverso.,
Come sapere se sei stato violato
Ecco 15 segni sicuri che sei stato violato e cosa fare in caso di compromesso.,ne password non funziona
si noti che in tutti i casi, il numero 1 raccomandazione è completamente ripristinare il sistema a uno stato funzionante noto prima di procedere., Nei primi giorni, questo significava la formattazione del computer e il ripristino di tutti i programmi e dati. Oggi, potrebbe semplicemente significare fare clic su un pulsante di ripristino. In entrambi i casi, un computer compromesso non può mai essere completamente attendibile di nuovo. Seguire i passaggi di ripristino consigliati elencati in ogni categoria qui sotto se non si desidera eseguire un ripristino completo. Ancora una volta, un ripristino completo è sempre un’opzione migliore, in termini di rischio.,
Si ottiene un messaggio ransomware
Uno dei peggiori messaggi chiunque può vedere sul proprio computer è un improvviso schermo take-over dicendo loro tutti i loro dati sono crittografati e chiedendo un pagamento per sbloccarlo. Ransomware è enorme! Dopo una leggera diminuzione dell’attività in 2017, i programmi di richiesta di riscatto sono tornati ruggenti. Miliardi di dollari in produttività vengono persi e miliardi in riscatto vengono pagati. Piccole imprese, grandi imprese, ospedali, stazioni di polizia e intere città sono stati portati a una battuta d’arresto da ransomware., Circa il 50% delle vittime paga il riscatto, assicurando che non sta andando via in qualunque momento presto.
Purtroppo, secondo le imprese di assicurazione di sicurezza informatica che sono spesso coinvolti nei pagamenti, pagare il riscatto non si traduce in sistemi di lavoro circa il 40% del tempo. Risulta che i programmi ransomware non sono privi di bug e sbloccare sistemi collegati indiscriminatamente crittografati non è facile come inserire una chiave di decrittografia. La maggior parte delle vittime finiscono con molti giorni di inattività e ulteriori fasi di recupero, anche se lo fanno pagare il riscatto.,
Cosa fare: In primo luogo, se hai un buon, recente, testato backup dei dati dei sistemi interessati, tutto quello che dovete fare è ripristinare i sistemi coinvolti e completamente verificare (ufficialmente chiamato unit testing) per assicurarsi che il recupero è stato 100%. Purtroppo, la maggior parte delle aziende non hanno i grandi backup che pensavano di avere. Prova i tuoi backup! Non lasciare che il ransomware sia la prima volta che i backup critici della tua azienda vengono testati.
La migliore protezione è quello di assicurarsi di avere una buona, affidabile, testato, backup offline. Ransomware sta guadagnando sofisticazione., I cattivi che utilizzano malware stanno spendendo tempo in ambienti aziendali compromessi per capire come fare la maggior parte dei danni, e che include la crittografia o corrompere i backup online recenti. Si sta assumendo un rischio se non si dispone di buona, testato, backup che sono inaccessibili agli intrusi dannosi.
Se appartieni a un servizio cloud di archiviazione file, probabilmente ha copie di backup dei tuoi dati. Non essere troppo fiducioso. Non tutti i servizi di cloud storage hanno la capacità di recuperare da attacchi ransomware, e alcuni servizi non coprono tutti i tipi di file., Contatta il tuo servizio di file basato su cloud e spiega la tua situazione. A volte il supporto tecnico può recuperare i file, e più di loro, di quanto tu possa te stesso.
Infine, diversi siti web possono essere in grado di aiutare a recuperare i file senza pagare il riscatto. O hanno capito la chiave di crittografia segreta condivisa o qualche altro modo per decodificare il ransomware. Sarà necessario identificare il programma ransomware e la versione che si trovano ad affrontare., Un programma antimalware aggiornato potrebbe identificare il colpevole, anche se spesso tutto quello che dovete andare avanti è il messaggio ransomware estorsione, ma che è abbastanza spesso. Cerca su quel nome e la versione e vedere cosa si trova.
Si ottiene un messaggio antivirus falso
Si ottiene un messaggio popup sul computer o dispositivo mobile che è infetto. Il messaggio pop-up finge di essere un prodotto di scansione antivirus e pretende di aver trovato una dozzina o più infezioni da malware sul computer., Anche se questo non è così popolare come una volta, falsi messaggi di avviso antivirus sono ancora una situazione che deve essere affrontata nel modo giusto.
Possono verificarsi a causa di due motivi: o il sistema è già compromesso o non è compromesso oltre il messaggio pop-up. Speranza per quest’ultimo. Questi tipi di messaggi antivirus falsi di solito hanno capito un modo per bloccare il browser in modo che non si può uscire dal messaggio falso senza uccidere il browser e riavviarlo.,
Cosa fare: Se sei fortunato, puoi chiudere la scheda e riavviare il browser e tutto va bene. Il messaggio falso non viene visualizzato. E’stato un colpo di fortuna. La maggior parte del tempo sarete costretti a uccidere il browser. Riavviarlo a volte ricarica la pagina originale che ha costretto l’annuncio falso su di te, in modo da ottenere di nuovo l’annuncio AV falso. In questo caso, riavviare il browser in modalità in incognito o inprivate, ed è possibile passare a una pagina diversa e fermare il messaggio AV falso di apparire.,
Lo scenario peggiore è che il messaggio AV falso ha compromesso il computer (di solito a causa di ingegneria sociale o software senza patch). Se questo è il caso, spegnere il computer. Se avete bisogno di salvare qualsiasi cosa e può farlo, farlo prima di spegnere. Quindi ripristinare il sistema a un’immagine pulita nota precedente. La maggior parte dei sistemi operativi ha funzioni di reset costruite appositamente per questo.,
Nota: Una truffa correlata è la truffa supporto tecnico in cui un messaggio del browser inaspettato si apre avviso che il computer è stato compromesso e di chiamare il numero verde sullo schermo per ottenere assistenza tecnica. Spesso l’avviso sostiene di essere da Microsoft (anche se si sta utilizzando un computer Apple). Questi truffatori supporto tecnico di chiedere di installare un programma, che poi dà loro accesso completo al sistema. Eseguiranno un falso antivirus, che non sorprende, trova molti virus. Poi ti vendono un programma per risolvere tutti i tuoi problemi., Tutto quello che dovete fare è dare loro una carta di credito per avviare il processo. Fortunatamente, questi tipi di avvisi truffa di solito possono essere sconfitti riavviando il computer o chiudendo il programma del browser ed evitando il sito web che lo ha ospitato su di voi. Raramente questo tipo di malware ha fatto nulla al computer che richiede il fissaggio.
Se cadi per una di queste truffe di supporto tecnico e hai dato loro la tua carta di credito, segnalalo immediatamente alla tua società di carte di credito e ottieni una nuova carta di credito., Reimpostare il PC come indicato sopra se si dà la persona di supporto tecnico impostore accesso remoto al computer.
Hai barre degli strumenti del browser indesiderate
Questo è un segno comune di sfruttamento: il tuo browser ha più nuove barre degli strumenti con nomi che sembrano indicare che la barra degli strumenti dovrebbe aiutarti. A meno che non si riconosce la barra degli strumenti come proveniente da un noto fornitore, è il momento di scaricare la barra degli strumenti fasulla.
Cosa fare: La maggior parte dei browser consente di rivedere le barre degli strumenti installate e attive. Rimuovere qualsiasi non si desidera installare. In caso di dubbio, rimuoverlo., Se la barra degli strumenti fasulla non è elencato lì o non si può facilmente rimuoverlo, vedere se il browser ha la possibilità di ripristinare il browser alle impostazioni predefinite. Se ciò non funziona, segui le istruzioni sopra elencate per i messaggi antivirus falsi.
Di solito è possibile evitare le barre degli strumenti dannosi facendo in modo che tutto il software è completamente patchato e di essere alla ricerca di software libero che installa queste barre degli strumenti. Suggerimento: Leggere il contratto di licenza. Le installazioni della barra degli strumenti sono spesso indicate negli accordi di licenza che la maggior parte delle persone non legge.,
Le tue ricerche su Internet vengono reindirizzate
Molti hacker si guadagnano da vivere reindirizzando il browser da qualche parte in cui non vuoi andare. L’hacker viene pagato ottenendo i tuoi clic per apparire sul sito web di qualcun altro. Spesso non sanno che i clic sul loro sito provengono da reindirizzamenti dannosi.
È spesso possibile individuare questo tipo di malware digitando alcune parole correlate e molto comuni (ad esempio “cucciolo” o “pesce rosso”) nei motori di ricerca di Internet e controllando se gli stessi siti Web appaiono nei risultati, quasi sempre senza alcuna rilevanza per i termini., Sfortunatamente, molte delle ricerche Internet reindirizzate di oggi sono ben nascoste all’utente attraverso l’uso di proxy aggiuntivi, quindi i risultati fasulli non vengono mai restituiti per avvisare l’utente.
In generale, se si dispone di programmi di barra degli strumenti fasulli, si sta anche essere reindirizzati. Gli utenti tecnici che vogliono veramente confermare possono annusare il proprio browser o il traffico di rete. Il traffico inviato e restituito sarà sempre nettamente diverso su un computer compromesso rispetto a un computer senza compromessi.
Cosa fare: Seguire le stesse istruzioni per la rimozione di barre degli strumenti e programmi fasulli., Di solito questo è sufficiente per sbarazzarsi del reindirizzamento dannoso. Inoltre, se su un computer Microsoft Windows controlla il tuo C:\Windows\System32\drivers\etc\hosts file per vedere se ci sono reindirizzamenti dall’aspetto dannoso configurati all’interno. Il file hosts indica al PC dove andare quando viene digitato un particolare URL. Non e ‘ piu ‘ usato. Se il filestamp sui file host è qualcosa di recente, potrebbe essere modificato maliziosamente. Nella maggior parte dei casi si può semplicemente rinominare o eliminare senza causare un problema.,
Si vede frequenti, popup casuali
Questo segno popolare che sei stato violato è anche uno di quelli più fastidiosi. Quando ricevi pop-up casuali del browser da siti Web che normalmente non li generano, il tuo sistema è stato compromesso. Sono costantemente stupito da quali siti web, legittimi e non, possono bypassare i meccanismi anti-pop-up del browser. È come combattere lo spam via email, ma peggio.
Cosa fare: Non per suonare come un disco rotto, ma in genere pop-up casuali sono generati da uno dei tre meccanismi dannosi precedenti di cui sopra., Avrete bisogno di sbarazzarsi di barre degli strumenti fasulli e altri programmi se si spera anche di sbarazzarsi dei pop-up.
I tuoi amici ricevono inviti sui social media da te che non hai inviato
Lo abbiamo già visto tutti prima. O voi oi vostri amici ricevere inviti a “essere un amico” quando si è già collegato amici su quel sito di social media. Di solito, stai pensando, ” Perché mi stanno invitando di nuovo? Mi hanno unfriend e non ho notato, e ora mi stanno ri-invitando.,”Poi si nota il sito di social media del nuovo amico è privo di altri amici riconoscibili (o forse solo alcuni) e nessuno dei post più vecchi. O il tuo amico ti sta contattando per scoprire perché stai inviando nuove richieste di amicizia. In entrambi i casi, l’hacker controlla il tuo sito di social media, ha creato una seconda pagina fasulla quasi simile, oppure tu o l’amico avete installato un’applicazione di social media canaglia.
Cosa fare: Innanzitutto, avvisa gli altri amici di non accettare la richiesta di amicizia inaspettata. Di ‘qualcosa del tipo:” Non accettare il nuovo invito di Bridget. Credo sia stata hackerata!”., Allora contatta Bridget in un altro modo per confermare. Diffondere la notizia nei vostri circoli comuni di social media. Successivamente, se non prima, contattare il sito di social media e segnalare il sito o la richiesta come fasulla. Ogni sito ha il proprio metodo per la segnalazione di richieste fasulle, che si possono trovare cercando attraverso la loro guida in linea. Spesso è facile come fare clic su un pulsante di segnalazione. Se il tuo sito di social media è veramente violato (e non è una seconda falsa pagina simile), dovrai cambiare la tua password (fai riferimento alle informazioni di aiuto su come farlo se non lo fai).
Meglio ancora, non perdere tempo., Passare all’autenticazione a più fattori (MFA). In questo modo i cattivi (e le app canaglia) non possono facilmente rubare e conquistare la tua presenza sui social media. Infine, essere diffidenti di installare qualsiasi applicazione di social media. Sono spesso dannosi. Ispeziona periodicamente le applicazioni installate associate al tuo account/pagina di social media e rimuovi tutte tranne quelle che vuoi veramente avere lì.
La tua password online non funziona
Se stai digitando correttamente la tua password online, di sicuro, e non funziona, potresti essere violato., Di solito provo di nuovo in 10 a 30 minuti, perché ho avuto siti con difficoltà tecniche non accettare la mia password valida per un breve periodo di tempo. Una volta che si sa per certo che la password corrente non funziona più, è probabile che un hacker canaglia ha effettuato l’accesso utilizzando la password e cambiato per tenervi fuori.
Ciò che di solito accade in questo scenario è che la vittima ha risposto a un’e-mail di phishing dall’aspetto autentico che presumibilmente sosteneva di essere del servizio., Il cattivo lo usa per raccogliere le informazioni di accesso, accede, cambia la password (e altre informazioni per complicare il recupero) e utilizza il servizio per rubare denaro alla vittima o ai conoscenti della vittima (fingendo di essere la vittima).
Cosa fare: Se la truffa è diffusa e molti dei tuoi conoscenti sono stati contattati, informa immediatamente tutti i tuoi stretti contatti sul tuo account compromesso. Ciò ridurrà al minimo il danno causato agli altri dal tuo errore. In secondo luogo, contattare il servizio online per segnalare l’account compromesso., La maggior parte dei servizi online ora hanno metodi semplici o indirizzi di contatto e-mail per segnalare gli account compromessi. Se si segnala il tuo account come compromesso, di solito il servizio farà il resto per aiutare a ripristinare l’accesso legittimo. Inoltre, prendere in considerazione emanare MFA.
Se le informazioni di accesso compromesse vengono utilizzate su altri siti web, modificare immediatamente tali password. Stai più attento la prossima volta. I siti web inviano raramente e-mail che ti chiedono di fornire le tue informazioni di accesso., In caso di dubbio, vai direttamente al sito web (non utilizzare i link inviati in e-mail) e verifica se le stesse informazioni vengono richieste quando accedi utilizzando il metodo legittimo. È inoltre possibile chiamare il servizio tramite la sua linea telefonica o e-mail per segnalare l’e-mail phish ricevuto o per confermare la sua validità.
Osservi installazioni software inaspettate
Le installazioni software indesiderate e inaspettate sono un grande segno che il tuo computer è stato violato. Nei primi giorni di malware, la maggior parte dei programmi erano virus informatici, che funzionano modificando altri programmi legittimi., L’hanno fatto per nascondersi meglio. La maggior parte dei programmi malware in questi giorni sono trojan e worm, e in genere si installano come programmi legittimi. Questo può essere perché i loro creatori stanno cercando di camminare su una linea molto sottile quando i tribunali li raggiungono. Possono tentare di dire qualcosa come ” Ma siamo una società di software legittima.”
Il software indesiderato è spesso legalmente installato da altri programmi, in modo da leggere i contratti di licenza. Spesso, leggerò accordi di licenza che affermano chiaramente che installeranno uno o più altri programmi., A volte si può scegliere di questi altri programmi installati; a volte non è possibile.
Cosa fare: Ci sono molti programmi che vi mostrerà tutti i programmi installati e consentono di disabilitare in modo selettivo. Le mie pedine preferite per Microsoft Windows sono i programmi gratuiti di Microsoft, Autoruns o Process Explorer. Non ti mostrano tutti i programmi installati, ma ti diranno quelli che si avviano automaticamente quando il tuo PC viene riavviato (Autoruns) o quelli attualmente in esecuzione (Process Explorer).,
La maggior parte dei programmi malware si trovano incorporati nella lista molto più ampia di programmi in esecuzione legittimi. La parte difficile può essere determinare ciò che è e ciò che non è legittimo. È possibile abilitare il “Controllo VirusTotal.com” opzioni e programmi, insieme a Google Virustotal.com sito web, vi dirà quali pensa sono malware. In caso di dubbio, disabilitare il programma non riconosciuto, riavviare il PC e riattivare il programma solo se alcune funzionalità necessarie non funzionano più.,
Il mouse si muove tra i programmi e fa selezioni
Se il puntatore del mouse si muove da solo mentre si effettuano selezioni che funzionano (questa è la parte importante), sei sicuramente stato violato. I puntatori del mouse si muovono spesso in modo casuale, di solito a causa di problemi hardware. Se i movimenti implicano fare scelte per eseguire programmi particolari, gli esseri umani maligni sono coinvolti da qualche parte.
Questa tecnica non è comune come altri attacchi. Gli hacker entreranno in un computer, aspetteranno che sia inattivo per un lungo periodo (come dopo mezzanotte), quindi cercheranno di rubare i tuoi soldi., Gli hacker si romperanno in conti bancari e trasferire denaro, il commercio le scorte, e fare tutti i tipi di azioni canaglia, tutti progettati per alleggerire il carico di cassa.
Cosa fare: Se il tuo computer “prende vita” una notte, prenditi un minuto prima di spegnerlo per determinare a cosa sono interessati gli intrusi. Non lasciare che ti derubino, ma sarà utile vedere cosa stanno guardando e cercare di scendere a compromessi. Scatta qualche foto per documentare i loro compiti. Quando ha senso, spegnere il computer. Sganciarlo dalla rete (o disabilitare il router wireless) e chiamare i professionisti., Questa è l’unica volta che si sta andando ad avere bisogno di aiuto di un esperto.
Utilizzando un altro noto buon computer, modificare immediatamente tutti gli altri nomi di accesso e le password. Controlla la cronologia delle transazioni del tuo conto bancario, i conti azionari e così via. Considera di pagare per un servizio di monitoraggio del credito. Se sei stato vittima di questo attacco, devi prenderlo sul serio. Il ripristino completo del computer è l’unica opzione che dovresti scegliere per il recupero. Se hai perso dei soldi, assicurati di lasciare che la squadra forense ne faccia prima una copia. Se hai subito una perdita, chiamare le forze dell’ordine e presentare un caso., Avrai bisogno di queste informazioni per recuperare al meglio le perdite di denaro reale, se presenti.
Antimalware, Task Manager o Editor del Registro di sistema è disabilitato
Questo è un enorme segno di compromesso dannoso. Se noti che il tuo software antivirus è disabilitato e non l’hai fatto, probabilmente sei sfruttato, specialmente se provi ad avviare Task Manager o Editor del Registro di sistema e non si avvieranno, inizieranno e scompariranno o inizieranno in uno stato ridotto.
Cosa fare: Eseguire un ripristino completo perché non si sa cosa è successo., Se volete provare qualcosa di meno drastico prima, se su un computer Windows, provare a eseguire Microsoft Autoruns o Process Explorer (o programmi simili) sradicare il programma dannoso che causa i problemi. Di solito identificano il tuo programma problematico, che puoi disinstallare o eliminare.
Se il malware “combatte” e non ti consente di disinstallarlo facilmente, cerca i molti metodi su come ripristinare la funzionalità persa (qualsiasi motore di ricerca su Internet restituirà molti risultati), quindi riavvia il computer in modalità provvisoria e avvia il duro lavoro., Dico “duro lavoro” perché di solito non è facile o veloce. Spesso, devo provare una manciata di metodi diversi per trovarne uno che funzioni. Precedere il ripristino del software per sbarazzarsi del programma malware utilizzando i metodi sopra elencati.
Al tuo account online mancano soldi
Intendo un sacco di soldi. I cattivi online di solito non rubano un po ‘ di soldi. A loro piace trasferire tutto o quasi tutto, spesso in valuta estera o in banca. Di solito inizia dal computer di essere compromessa o da voi rispondere a un phish falso dalla vostra banca o società di azioni., I cattivi accedere al tuo account, modificare le informazioni di contatto, e trasferire ingenti somme di denaro a se stessi.
Cosa fare: Nella maggior parte dei casi sei fortunato perché la maggior parte delle istituzioni finanziarie sostituirà i fondi rubati (specialmente se possono fermare la transazione prima che il danno sia veramente fatto). Tuttavia, ci sono stati casi in cui i tribunali hanno stabilito che era responsabilità del cliente non essere violato, e spetta all’istituto finanziario decidere se farà la restituzione a voi.,
Per evitare che ciò accada in primo luogo, attivare gli avvisi di transazione che inviano avvisi di testo a voi quando qualcosa di insolito sta accadendo. Molti istituti finanziari consentono di impostare soglie sugli importi delle transazioni, e se la soglia viene superata o va in un paese straniero, sarete avvisati. Purtroppo, molte volte i cattivi ripristinare gli avvisi o le informazioni di contatto prima di rubare i vostri soldi. Quindi, assicurati che il tuo istituto finanziario o commerciale ti invii avvisi ogni volta che le tue informazioni di contatto o le scelte di avviso vengono modificate.,
Sei stato avvisato da qualcuno che sei stato violato
Uno dei modi migliori in cui qualsiasi organizzazione scopre di essere stata compromessa con successo è la notifica di una terza parte non correlata. Questo è stato il caso fin dall’inizio dei computer e continua ad essere vero. Il rapporto di indagini sulla violazione dei dati rispettato di Verizon ha rivelato che più aziende sono state informate di essere state violate da terze parti non correlate rispetto alle organizzazioni che hanno riconosciuto i propri compromessi., A luglio 2019, Microsoft ha rivelato di aver rilevato attacchi di stato nazionale contro oltre 10.000 dei suoi clienti dall’inizio dell’anno.
Cosa fare: In primo luogo, capire se si è veramente stato violato. Assicurarsi che tutti rallenta fino a quando si conferma che sono stati compromessi con successo. Se confermato, segui il tuo piano di risposta agli incidenti predefinito. Ne hai uno, vero? In caso contrario, fare uno ora e pratica con le parti interessate. Assicurati che tutti sappiano che il tuo piano IR è un piano ponderato che deve essere seguito., Non vuoi che qualcuno vada alle proprie feste di caccia o che inviti più persone “alla festa” prima che sia deciso chi deve essere coinvolto. La tua più grande sfida sta per essere in realtà avere persone seguono il piano in caso di emergenza. Comunicare e praticare, prima del tempo.
I dati riservati sono trapelati
Nulla conferma che sei stato violato come i dati riservati della tua organizzazione seduti su Internet o dark web., Se non l’hai notato prima, probabilmente i media e le altre parti interessate contatteranno la tua organizzazione per confermare o scoprire cosa stai facendo al riguardo.
Cosa fare: Come il segno precedente, prima scopri se è vero che sono davvero i tuoi dati riservati là fuori. In più di alcuni casi, gli hacker hanno affermato di compromettere i dati di un’azienda, ma non hanno nulla di confidenziale. O hanno costituito il reclamo e i dati, avevano solo dati disponibili al pubblico o avevano dati di altre società. Quindi, prima conferma.,
Se si tratta di dati riservati della vostra organizzazione, è il momento di dire senior management, iniziare il processo IR, e capire che cosa deve essere comunicato a chi da quando. In molti paesi e stati, l’obbligo legale di segnalare i dati dei clienti compromessi può essere breve come 72 ore, e molte volte non sarà nemmeno in grado di confermare la perdita o come è accaduto in 72 ore. Va da sé che è necessario ottenere legale coinvolto.,
Le tue credenziali si trovano in un dump di password
Letteralmente miliardi di credenziali di accesso valide (almeno una volta) sono su Internet e dark web. Di solito sono stati compromessi da phishing, malware o violazioni del database del sito web. Di solito non sarai avvisato da terze parti come nel caso di altri tipi di perdite di dati. Devi guardare in modo proattivo fuori per questo tipo di minaccia. Prima sai che è successo questo genere di cose, meglio è.,
È possibile controllare compromesso credenziali, uno alla volta, utilizzando vari siti web (come Sono Stato Pwned), controllare più account che utilizza vari libero e open source intelligence (come Il Mietitore), libero strumenti commerciali (come KnowBe4 la Password di Prova di Esposizione), o uno qualsiasi dei servizi commerciali che cercare i dati della tua azienda e le credenziali per tutto il tempo (a pagamento).
Cosa fare: dopo aver prima confermato se il dump contiene le credenziali attualmente utilizzate, reimpostare tutte le credenziali di accesso., Avvia un processo IR per vedere se riesci a capire come le credenziali di accesso della tua organizzazione sono finite fuori dall’azienda. Inoltre, implementare MFA.
Si osservano strani modelli di traffico di rete
Molti compromessi sono stati notati per la prima volta da strani e inaspettati modelli di traffico di rete. Potrebbe essere stato un cattivo Distributed Denial of Service (DDoS) attacco contro i server web della vostra azienda o di grandi dimensioni, trasferimenti di file attesi a siti in paesi che non fare affari con., Se più aziende capissero i loro modelli di traffico di rete legittimi ci sarebbe meno bisogno di una terza parte per dire loro che sono compromessi. È bene sapere che la maggior parte dei server della tua azienda non parla con altri server della tua azienda. La maggior parte dei server della tua azienda non parla con tutte le workstation della tua azienda e viceversa. La maggior parte delle workstation della tua azienda non dovrebbe utilizzare protocolli non HTTP/non HTTPS per parlare direttamente con altri luoghi su Internet.,
Cosa fare: Se vedi un traffico inaspettato e strano che non puoi spiegare, probabilmente è meglio uccidere la connessione di rete e avviare un’indagine IR. Anni fa, probabilmente avremmo detto di sbagliare sul lato della cautela operativa. Oggi non puoi correre rischi. Uccidere eventuali trasferimenti sospetti fino a quando non sono dimostrati legittimi.
Se non si capisce il traffico di rete valido, è necessario farlo. Decine di strumenti sono progettati per aiutare a capire meglio e documentare il traffico di rete., Consiglierei di controllare le alternative gratuite e open source come Bro e Snort, ma entrambi richiedono molto tempo, risorse e ricerca per essere utilizzati in modo efficace. Invece, trovare una buona soluzione commerciale che ha già fatto tutto il duro lavoro per voi.
La prevenzione è la cura migliore
La speranza che un programma antimalware possa rilevare perfettamente malware e hacking dannoso è pura follia. Tieni d’occhio questi segni e sintomi comuni del tuo computer che viene violato. Se sei avverso al rischio, come lo sono io, esegui sempre un ripristino completo del computer con l’evento di una violazione., Una volta che il computer è stato compromesso, i cattivi possono fare qualsiasi cosa e nascondersi ovunque. È meglio iniziare da zero.
Lascia un commento