Seorang CISO dan peretas merinci bagaimana mereka menanggapi pelanggaran Exchange – TechCrunch


Dunia cyber telah memasuki era baru di mana serangan menjadi lebih sering dan terjadi dalam skala yang lebih besar dari sebelumnya. Peretasan besar-besaran yang memengaruhi ribuan perusahaan dan agensi tingkat tinggi Amerika telah mendominasi berita baru-baru ini. Yang utama di antaranya adalah pelanggaran SolarWinds / FireEye bulan Desember dan pelanggaran server Microsoft Exchange baru-baru ini. Semua orang ingin tahu: Jika Anda terkena pelanggaran Exchange, apa yang harus Anda lakukan?

Untuk menjawab pertanyaan ini, dan membandingkan filosofi keamanan, kami menguraikan apa yang akan kami lakukan – berdampingan. Salah satu dari kami adalah penyerang karier (David Wolpoff), dan yang lainnya adalah CISO dengan pengalaman mengamankan perusahaan di bidang perawatan kesehatan dan keamanan (Aaron Fosdick).

Jangan menunggu tim respons insiden Anda menerima beban serangan dunia maya di organisasi Anda.

CISO Aaron Fosdick

1. Cadangkan sistem Anda.

Seorang peretas kemungkinan akan melontarkan beberapa serangan ransomware pada Anda setelah membobol server email Anda. Jadi andalkan cadangan, konfigurasi, dll. Cadangkan semua yang Anda bisa. Tapi kembali ke contoh sebelum pelanggaran. Rancang cadangan Anda dengan asumsi bahwa penyerang akan mencoba menghapusnya. Jangan gunakan kredensial admin normal Anda untuk mengenkripsi cadangan Anda, dan pastikan akun admin Anda tidak dapat menghapus atau mengubah cadangan setelah dibuat. Target cadangan Anda tidak boleh menjadi bagian dari domain Anda.

2. Asumsikan kompromi dan hentikan konektivitas jika perlu.

Identifikasi jika dan di mana Anda telah diganggu. Periksa sistem Anda secara forensik untuk melihat apakah ada sistem yang menggunakan permukaan Anda sebagai titik peluncuran dan mencoba bergerak secara lateral dari sana. Jika server Exchange Anda benar-benar disusupi, Anda menginginkannya keluar dari jaringan Anda sesegera mungkin. Nonaktifkan konektivitas eksternal ke internet untuk memastikan mereka tidak dapat mengekstrak data apa pun atau berkomunikasi dengan sistem lain di jaringan, begitulah cara penyerang bergerak secara lateral.

3. Pertimbangkan untuk menerapkan default / deny.

Posted By : Togel Hongkong