Estoy enfrentando un problema en el que los piratas informáticos buscan comprometer dos de mis servidores. Lograron eliminar a ambos y robar mis copias de seguridad. Tuve copias de seguridad fuera del sitio y estoy de nuevo en línea. Sin embargo, quiero cerrar las puertas traseras de mi sistema. ¿Qué debo hacer para asegurarme de que esto nunca vuelva a suceder?
La copia de seguridad externa se restauró desde un punto donde ya tenían acceso.
Una copia de seguridad anterior no es una opción.
Quiero cerrar las puertas traseras de mi sistema.
Creo que esa es tu respuesta. Debe realizar alguna respuesta al incidente y averiguar cuál fue la causa de su incumplimiento y cerrar los agujeros que ha encontrado.
La seguridad es un enfoque de capas múltiples, querrá software como cortafuegos, antivirus, detección de intrusos, etc. a nivel del sistema y probablemente a nivel de red. Es posible que desee establecer conexiones proxy a su servidor, tanto en la red como en la capa de aplicación. Por ejemplo, en un servidor web, es posible que desee incluir un firewall de aplicaciones web .
Una de las causas más probables si utiliza un software no comercial es que su software está desactualizado y necesita parches, el software debe actualizarse periódicamente. Además, también debe asegurarse de configurar todas las configuraciones opcionales de la manera más segura y adecuada, que variará según la aplicación. Puede buscar guías en Google o puede plantear una pregunta más específica a la comunidad sobre cómo proteger mejor una aplicación específica.
Si está escribiendo su propio software, debe asegurarse de seguir las prácticas de codificación segura. Debe asegurarse de que hay validación de entrada, aplicación adecuada de protocolos / algoritmos y que está utilizando versiones actualizadas / protegidas de bibliotecas de terceros. Si está haciendo aplicaciones web, consulte OWASP .
En cuanto a la respuesta al incidente, debe buscar evidencia de cómo se conectaron a su sistema y qué hicieron. Es posible que solo pudieran acceder a ciertos archivos o comprometer ciertas aplicaciones, sin embargo, de sus preguntas originales no está muy seguro de lo que sucedió o lo que realmente hicieron.
Se puede encontrar evidencia comparando archivos con valores conocidos (monitoreo de integridad de archivos) y revisando los registros de acceso (asumiendo que no estaban comprometidos). Debe buscar a través de algunas preguntas existentes aquí en este sitio sobre la respuesta a incidentes que pueden ayudarlo en el camino correcto.
Restaurar desde una copia de seguridad lo volverá a conectar, pero no solucionará su problema, es probable que la copia de seguridad tenga las mismas vulnerabilidades.