Если я подозреваю, что наш сайт взломан и украдены данные, где я начну искать доказательства?

Question

Я разработчик веб-сайтов в компании, которая занимается множеством конфиденциальных личных данных, включая хранение банковских реквизитов и телефонных номеров.

Клиент сообщает, что недавно они связались по телефону с кем-либо, претендующим на работу в своем банке, задав им несколько вопросов безопасности. Клиент стал подозрительным по характеру вопросов, прежде чем повесил трубку.

Я еще не смог выяснить, какие вопросы были заданы, однако клиент заявил, что номер мобильного телефона, с которым они были связаны, не был предоставлен их банку. Фактически, это был новый номер мобильного телефона, который они нам предоставили только через наш веб-сайт вместе с их банковскими реквизитами.

Это, естественно, вызывает подозрение, что наш сайт был нацелен и взломан.

Нет никаких доказательств того, что вредоносное ПО сайта или какой-либо вредоносный код отправлен в прямом эфире, но это совпадение с клиентом кажется очень целенаправленным.

мне нужно определить:

• ли какие-либо данные на самом деле украдены
• если да, то где он был украден из
  • нашей базы данных?
  • наши учетные записи электронной почты?
  • a rogue штат сотрудников?
  • учетная запись для хранения облаков?
  • где-то еще полностью?
• как он был украден
• сколько было украдено
• , когда он был украден

Каковы наиболее очевидные признаки того, что может мне точку в правильном направлении? Я совершенно не знаю, с чего начать искать что-то вроде этого, так как нет ничего очевидного.

Наша архитектура:

• Debian Jessie
• Apache
• MySQL Database
• PHP веб-приложений, построенных на фреймворке CodeIgniter
• Некоторые документы хранятся в Amazon S3

Мы берем все разумные средства обеспечения безопасности y на нашем коде приложения - XSS-санитария, экранирование значений базы данных, защита CSRF и т. д. Доступ к файлам сервера осуществляется только через SSH, защищенными сильными, повернутыми паролями.

Я прежде всего веб-разработчик - мы передаем наш хостинг специализированной компании, с которой я буду консультироваться. Но любой совет, который я могу получить, чтобы помочь всем нам, будет очень оценен.

Answer 1

Что люди могут вам посоветовать здесь, во многом будет зависеть от получения более подробной информации о вашей настройке, но первое, что нужно сделать, если у вас есть веские основания для подозрения, - это подключить коробку из сети (если вы есть этот опция). Ваш первый порт захода должен защищать вашу систему от дальнейших краж/повреждений над определением того, что, когда и как, как квалифицированные хакеры будут покрывать их следы.

Тот факт, что у вашего клиента новый мобильный телефон, и вы, по их словам, единственный человек, которого они дали номер, не означает, что это единственное место, где кто-то мог получить номер. Во-вторых, и я не уверен, правильно ли я выбрал вас, но ваш клиент дал свой мобильный телефон вместе со своими банковскими реквизитами, и все их данные всплывают в базе данных/электронной почте/облаке с неограниченным доступом, вам нужно просмотреть свою политику безопасности ,

Чтобы определить, как ваши данные были украдены, сколько было украдено и когда оно было украдено, скорее всего, из-за звуков того, что вы говорите, и характера вопросов должно быть сделано третьей стороной - и если вы хотите выглядеть серьезным для своего клиента, получите кого-то, кто сертифицирован, чтобы выполнять эту работу и поделиться с ними прогрессом. Помните, вы не знаете, что кто-то взломал вашу систему, поэтому предположите, что вы были просто потому, что кто-то говорит, что вы единственный, кого они дали этому номеру.

Далее, как указано в описании @m02ph3us, для подробностей о том, как проверить информацию о том, что, когда и как, вам нужно будет подробно описать ваш стек, чтобы люди могли дать вам указатели.

Редактирование с тех пор, как вы добавили некоторые особенности ...

Об обеспечении коробки можно обеспечить только ключ доступа через SSH с портом стука и SSH на другой порт. Убедитесь, что ваш блок защищен брандмауэром. Удостоверьтесь, что root также не может подключиться к SSH. Зашифрованы ли ваши данные клиента и заблокированы порты MySQL? CodeIgniter не является безопасным, AFAIK он даже не разрабатывается, но у вас, по крайней мере, есть основы в отношении безопасности приложений - посмотрите на owasp.org и просмотрите контрольный список. На стороне Apache вы используете SSL при передаче данных? Существует несколько сайтов (Symantec cryptoreport - один), который может проверить ваш сертификат, чтобы убедиться, что он правильно установлен и защищен, но есть и другие. Убедитесь, что политики IAM включены и что документы недоступны для внешнего мира - только через ваш домен. Удостоверьтесь, что вы задерживаете настройку.

Чтобы проверить, получил ли кто-нибудь доступ к Debian, вы можете начать с выполнения последнего и последнего логина. Возможно, вам захочется загрузить содержимое/var/log и использовать анализатор журналов.

Это хорошее начало для вас, но если вы были взломаны и хакер был опытным, не ожидайте скоро что-нибудь найти. Удачи.

Почти забыт - если проблема с человеком или доверие - это проблема, вы можете просто исправить это, создав учетную запись электронной почты для указанных документов, доступ к которой может получить только ваше приложение, она может подключаться, загружать, шифровать, отправлять на s3 и удалять, когда законченный. Таким образом, вам не нужно беспокоиться о том, что люди отправляют документы здесь и там или получают доступ к дому и т. Д.