תגובה לממצאים של איומים ברשת

במסמך הזה מופיעות הנחיות לא רשמיות לגבי דרכים להגיב לממצאים של פעילויות חשודות ברשת. יכול להיות שהשלבים המומלצים לא יתאימו לכל הממצאים, ושהם ישפיעו על הפעולות שלכם. לפני שתבצעו פעולה כלשהי, עליכם לבדוק את הממצאים, להעריך את המידע שאספתם ולהחליט איך להגיב.

לפני שמתחילים

  1. בדיקת הממצא. מציינים את המשאב המושפע ואת חיבורי הרשת שזוהו. אם יש כאלה, בודקים את האינדיקטורים לפריצה בממצא באמצעות מודיעין איומי סייבר מ-VirusTotal.

  2. כדי לקבל מידע נוסף על הממצא שאתם בודקים, חפשו את הממצא באינדקס של ממצאי איומים.

המלצות כלליות

  • פונים לבעלים של המשאב המושפע.
  • בודקים את משאב המחשוב שנפרץ ומסירים את התוכנות הזדוניות שנמצאו.
  • אם יש צורך, מפסיקים את משאב המחשוב שנפרץ.
  • לצורך ניתוח משפטי, מומלץ לגבות את המכונות הווירטואליות ואת הדיסקים של אחסון מתמיד (persistent disks) שהושפעו. מידע נוסף מופיע במאמר אפשרויות להגנה על נתונים במאמרי העזרה של Compute Engine.
  • אם צריך, מוחקים את משאב המחשוב המושפע.
  • כדי לבצע חקירה נוספת, אפשר להשתמש בשירותים לתגובה לאירועים כמו Mandiant.

בנוסף, כדאי לעיין בהמלצות שבקטעים הבאים בדף הזה.

תוכנה זדונית

איומים שקשורים לכריית מטבעות וירטואליים

אם קובעים שהאפליקציה היא אפליקציית כרייה והתהליך שלה עדיין פועל, צריך להפסיק את התהליך. מאתרים את הקובץ הבינארי של האפליקציה שניתן להפעלה באחסון של משאב המחשוב ומוחקים אותו.

המאמרים הבאים