Reconstruindo um desfacement de website
Clientes potenciais e existentes navegam para o website da sua empresa um dia, na esperança de encontrar a página inicial amigável e cuidadosamente marcada em que a sua equipa de web design trabalhou tanto. Em vez disso, são recebidos com fotos de gatos. O CEO está irado e todos estão em pânico. Como analista de segurança, a sua função é investigar o que aconteceu e reconstruir as etapas que o atacante tomou para que a sua organização possa implementar medidas para prevenir um ataque semelhante no futuro. Pode utilizar o software Splunk para identificar artefactos e indicadores do desfacement. Esses indicadores permitem tomar decisões em matéria de contenção e recuperação, bem como defender-se contra futuros ataques.
Dados requeridos
Como utilizar o software Splunk para este caso de utilização
Pode executar muitas pesquisas com o software Splunk para reconstruir um desfacement do website. Pode investigar a origem do ataque utilizando estas pesquisas:
- Endereço IP que envia pedidos repetidos para um servidor Web
- Produto ou software que acede ao servidor web
- Pedidos Web para um sistema específico no seu ambiente
- Endereço IP que tenta um ataque de palavra-passe de força bruta
- Executável carregado num servidor web
- Hash MD5 de um ficheiro carregado
- Servidor Web que inicia tráfego de saída
Próximos passos
Para maximizar seu benefício, os artigos de instruções vinculados na seção anterior provavelmente precisam se vincular aos processos existentes na sua organização ou se tornar novos processos padrão. Estes processos geralmente afetam o sucesso com este caso de uso:
- Ficar offline com o servidor Web
- Publicar uma página de manutenção temporária
- Restaurar o servidor Web
Medir o impacto e o benefício é fundamental para avaliar o valor das operações de segurança. Seguem-se exemplos de métricas que podem ser úteis para monitorizar ao implementar este caso de utilização:
- Tempo de detecção: O tempo desde o momento em que ocorreu o desfaceamento até ao momento em que foi reportado à empresa
- Tempo para concluir o inquérito: O tempo desde o momento em que o desaparecimento foi comunicado à empresa até ao momento em que o inquérito foi concluído
O conteúdo neste caso de uso vem de um workshop prático de investigações de segurança desenvolvido por especialistas em segurança da Splunk. Para saber quais são os recursos educativos disponíveis para si, fale com o seu Gestor de Serviço de Apoio ao Cliente. Estes recursos adicionais do Splunk podem ajudá-lo a compreender e implementar este caso de utilização específico:
- Procedimento de caso de uso: Tempo decorrido entre dois eventos relacionados
- Procedimento de caso de uso: FQDN associado a um endereço IP