Sådan gør du, når du er blevet hacket

More documents

Recommendations

Info

standse angrebet og isolere de berørte systemer så vidt som muligt. Herefter kan man igangsætte en undersøgelse af hændelsen uden at risikere yderligere kompromittering. IT-angreb bør hurtigst muligt anmeldes til Politiet, som vil vurdere, om der er behov for en egentlig efterforskning. GovCERT kan bistå med kontakten til Politiet. Det sidste (og ofte mest ressourcekrævende) skridt er derefter oprydningsarbejdet efter hændelsens afslutning. 1.1 Første fase: Akut-fasen 1.1.1 Stands angrebet • Stop adgang til/fra internettet – inkl. e-mail • Stop interne servere og/eller services, der kan viderebringe inficering via f.eks. file-shares 1.1.2 Angrebets omfang For at kunne spore angrebets oprindelse, samt identificere omfanget af kompromitteringen, er det vigtigt, at man sørger for at sikre blandt andet logfiler. Afhængig af angrebstypen vil man muligvis kunne finde relevante oplysninger i forskellige typer logfiler: • Netværkslogs: Firewall, DNS, IDS, proxy, NetFlow fra netværksenheder • Serverlogs: Web server logs, applikationslogs, event logs, lokal IDS/firewall, scheduled tasks I tilfælde af, at der ikke logges, bør der hurtigst muligt slås relevant logning til, der sendes til et centralt samlingssted. I forbindelse med undersøgelsen af logfilerne er det vigtigt at identificere, hvordan det er lykkedes angriberne at tilegne sig adgang til systemerne. Drejer det sig f.eks. om en kendt sårbarhed, der har været udnyttet? 1.1.3 Kontakt GovCERT Ring til GovCERT på vores vagtnummer – 7231 9420 – og giv os så mange informationer om hændelsen som muligt. Vi vil først stille nogle spørgsmål for at hjælpe os til at forstå hændelsen bedre. Vi opretter derefter en sag, hvori al relevant information omkring hændelsen vil blive registreret, og som kan være til hjælp i sagens undersøgelse. 1.1.4 Anmeld sagen til Politiet Det Nationale IT-Efterforskningscenter (NITEC) bistår Politiet i sager vedrørende hacking samt andre typer af elektronisk kriminalitet. Vi råder normalt kunder til at anmelde sager vedr. hacking til NITEC – de kan kontaktes telefonisk på 3314 8888 eller via e-mail: it-kriminalitet@politi.dk
1.2 Anden fase: Oprydning 1.2.1 Identificer misbrugte brugerkonti • Check filer og emails, der er tilknyttet de kompromitterede brugerkonti • Check andre servere, hvor de misbrugte konti benyttes 1.2.2 Geninstallation af berørte systemer • Geninstallation: Efter hændelsens afslutning bør alle berørte systemer geninstalleres for at sikre, at der ikke efterlades malware eller bagdøre på dem. Data, der skal genskabes, bør genindlæses fra en backup, der vides at være sikker. • Opdateringer: Alle systemer bør så vidt muligt opdateres med de seneste sikkerhedspatches 1.2.3 Ændring af passwords • Som minimum bør passwords tilhørende alle kompromitterede konti ændres. Hvis muligt, bør alle administrative konti ligeledes ændres, herunder både dem, der er tilknyttet brugere og services, samt lokale konti og domæne-konti • Best practice: Alle passwords i hele domænet bør om muligt ændres 1.2.4 Check flytbare medier • Undersøg flytbare medier, såsom USB-diske, CD'er, DVD'er og USB-nøgler, der kunne have været i kontakt med de inficerede systemer. Eventuelt inficerede medier bør formateres eller bortskaffes for at undgå geninficering via netværket.
Page 1: 1 Hvad skal man gøre, når man er

Sådan gør du, når du er blevet hacket

Create successful ePaper yourself

Delete template?

Save as template?