Crédit : Dreamstime
Chaque fois que j’ai affaire à des services cloud ou à des consultants distants, celui chose qui me donne le plus de temps libre est de garder un œil sur les informations d’identification et de les protéger. Cela nécessite plusieurs sauvegardes, des ressources cloud et des procédures de sauvegarde et de réparation évaluées.
Nous avons nos procédures typiques de gestion des mots de passe, des outils de stockage des mots de passe et des procédures de cryptage des fichiers. La catastrophe frappe. Vos serveurs sont touchés par des ransomwares ou piratés. Un gadget avec des mots de passe cruciaux est volé. Un gadget d’authentification multifacteur est perdu.
Tous ces sinistres peuvent vous amener, vous ou quelqu’un de votre entreprise, à être moins que protégés dans la façon dont ils gèrent le transfert et la réparation des serveurs et des opérations clés. À quelle fréquence vous ou vos consultants testez-vous pour voir s’ils peuvent gérer la procédure de récupération sous tension ?
Sociétés spécialisées s’arrangent souvent avec leurs clients pour mettre en scène une catastrophe, puis surveillent les résultats avec leur personnel. Comme des expériences de phishing simulées, ces catastrophes mises en scène sont contrôlées pour s’assurer que les données ne seront pas perdues et que les dommages causés au client sont limités aux emplacements mis en scène.
L’objectif est de s’assurer que le personnel de conseil peut gérer le stress lors de la catastrophe d’un client (bien qu’il s’agisse d’une mise en scène). Il s’agit également d’examiner comment ils traitent les procédures et les traitements, en particulier le traitement des informations d’identification. Trop souvent, dans le feu de l’action, vous vous retrouvez dans l’incapacité d’accéder à vos processus normaux.
Assurez-vous que vous faites face aux circonstances dans lesquelles votre gestion régulière des qualifications est perturbée, et planifiez-les, afin de vous assurer que vous ne placez pas votre entreprise dans une plus grande menace après une catastrophe.
Voici quelques idées et meilleures pratiques pour récupérer les qualifications après un sinistre :
Documenter les modifications d’autorisation du serveur effectuées pendant la réparation
Dans Dans le feu de l’action, les permissions des serveurs sont souvent adaptées pour récupérer celles-ci ou des informations et il faut alors enregistrer les modifications apportées pour s’assurer qu’une fois l’événement passé, les modifications sont changées. Même lorsque vous en avez terminé avec un incident de sécurité, vérifiez que vous n’avez pas laissé vos systèmes dans un environnement non sécurisé.
Résistez à prendre des raccourcis tout en exécutant des processus de récupération développés
Si vous avez un plan de guérison évalué, évitez la tentation de sortir du scénario pour accélérer la procédure. Comme le montre le document NIST Guide for Cybersecurity Healing :
« Les équipes de récupération doivent intégrer des traitements de récupération particuliers basés sur les procédures utilisées au sein de l’organisation.
« Ces procédures peuvent consister en des actions techniques telles que ramener des systèmes à partir de sauvegardes propres, reconstruire des systèmes à partir de zéro, améliorer le système de gestion des identités et la limite de confiance, modifier les fichiers compromis avec des variations ordonnées, mettre en place des spots, corriger les erreurs de configuration logicielle, protéger applications et services, modification des mots de passe, augmentation de la force du suivi et renforcement de la sécurité des limites du réseau (par exemple, ensembles de règles du logiciel de pare-feu, accès du routeur de frontière aux listes de contrôle).
« Procédures peuvent également inclure des actions non techniques qui incluent des modifications des procédures de l’entreprise, du comportement et de la compréhension humains, ainsi que des politiques et des traitements informatiques. Il est important que l’organisation prenne ces traitements définis au sérieux et non comme une prendre activement ou involontairement des raccourcis tout au long de leur exécution. Une récupération efficace consistera en une utilisation et une amélioration continues des actions techniques et non techniques. »
Faites l’effort de faire une analyse d’origine
Souvent, un processus de guérison est différent selon la taille des organisations. Une petite entreprise peut simplement vouloir être de nouveau fonctionnelle le plus rapidement possible tandis qu’une entreprise de taille moyenne peut faire l’effort de faire une analyse de la source.
Selon au dossier du NIST, « Reconnaître l’origine ou les origines d’un événement cybernétique est essentiel pour préparer les meilleures actions de réponse, de confinement et de guérison. Bien qu’il soit constamment souhaitable de connaître la cause racine complète, les adversaires sont incités à cacher leurs méthodes, il n’est donc pas toujours possible de découvrir la cause racine complète. »
N’oubliez pas vos paramètres de sécurité lorsque vous redéployez serveurs
Si vous utilisez Microsoft Protector for Business Server, Microsoft recommande des modifications proactives de votre serveur pour vous assurer que vous pouvez mieux éviter les attaques, en particulier que vous utilisez la même recommandation de règles de réduction de la surface d’attaque pour les postes de travail. Un exemple de l’image d’écran ci-dessous, vous souhaitez empêcher toutes les applications de lieu de travail de créer des procédures client.
Lorsque vous reconstruisez votre réseau après un événement, gardez à l’esprit ces paramètres car vous redéployez souvent des serveurs avec paramètres par défaut. Vous n’avez peut-être pas gardé à l’esprit ou enregistré tous les paramètres que vous devez effectuer pour mieux protéger votre réseau.
Vérifiez votre stock de logiciels pour d’éventuelles vulnérabilités
Protector for servers explique également les vulnérabilités des logiciels tiers dont vous avez peut-être oublié qu’ils sont installés sur vos serveurs. Un inventaire des logiciels peut vous aider tout au long de la résolution des incidents et vous aider à éviter un incident de sécurité. Savoir précisément quelle application logicielle vous avez réellement configurée sur un système aide à reconnaître les dangers potentiels pour votre réseau.
Les administrateurs peuvent oublier qu’une application logicielle plus ancienne qu’ils n’utilisent plus a été laissée sur les systèmes et n’a pas été supprimée une fois la tâche terminée. Si vous avez enregistré l’application logicielle, les clés de licence et les personnalisations d’implémentation, vous pouvez ramener ou restaurer le serveur dans le même état plus rapidement.
Idéalement, vous restaurerez à partir d’un back- mais avec les ransomwares, les agresseurs trouvent et endommagent généralement les fichiers de sauvegarde. Sachez exactement comment récupérer et reconstruire vos serveurs.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
