Расследование изменения сайта организации

Подробный отчёт о расследовании и его результатах в публикации «Дело не на одну пиццу — История расследования».

Задачи проекта

Расследовать несанкционированное изменение сайта организации, определить затронутые ресурсы и последствия атаки.

Решение

Поскольку все администраторы сайта отрицали свою причастность к случившемуся, нам было необходимо проанализировать логи всех изменений, которые произошли в период между созданием последней резервной копии и текущим состоянием сайта. Мы обнаружили, что все изменения происходили от имени легитимного пользователя. Следовательно, мы предположили, что произошла утечка учётных данных. Причиной утечки стало вредоносное программное обеспечение, которое было установлено на рабочем компьютере системного администратора организации.

Результаты

После того, как мы собрали информацию об инциденте, заказчик расследования запустил процессы восстановления. Мы помогли вернуть работоспособность затронутых атакой информационных систем и ресурсов. После анализа результатов расследования мы порекомендовали поменять настройку и состав средств защиты информации, чтобы предотвратить повторение инцидента в будущем или закрыть наиболее критичный вектор атак.

Похожие проекты