1. Komputery Sieć komputerowa Bezpieczeństwo sieci Co robić po naruszeniu danych: 3 kroki do odzyskania bez profesjonalisty

Joseph Steinberg

Większość specjalistów i organizacji cyberbezpieczeństwa obawia się naruszeń danych. W rzeczywistości większość planowania w świecie cyberbezpieczeństwa jest próbą zapobieżenia takiemu zdarzeniu. Ale najlepiej opracowane plany bezpieczeństwa cybernetycznego często się nie sprawdzają.

Jeśli nie masz możliwości sprowadzenia profesjonalisty, wykonaj następujące czynności. Te kroki są w zasadzie tymi, które wykonują większość specjalistów ds. Cyberbezpieczeństwa:

  1. Dowiedz się, co się stało (lub co się dzieje). Ogranicz cyberatak. Zakończ i wyeliminuj cyberatak.

Krok 1: Dowiedz się, co się stało lub co dzieje się z cyberatakiem

Jeśli to możliwe, chcesz dowiedzieć się jak najwięcej o cyberataku, abyś mógł odpowiednio zareagować. Jeśli na przykład osoba atakująca przenosi pliki z komputera na inne urządzenie, chcesz jak najszybciej odłączyć urządzenie od Internetu.

To powiedziawszy, większość użytkowników domowych nie ma umiejętności technicznych, aby właściwie analizować i rozumieć dokładnie, jaki może być charakter konkretnego cyberataku - chyba że oczywiście atak ma charakter jawny.

Zbierz jak najwięcej informacji na temat

  • Co stało się przyczyną cyberataku Jakie systemy informacyjne i bazy danych zostały trafione Co może zrobić przestępca lub inna złośliwa strona z kradzionym materiałem Kto oprócz ciebie może być narażony na ryzyko z powodu naruszenia danych (obejmuje to wszelkie potencjalne konsekwencje dla twojego pracodawcy)

Nie marnuj dużo czasu na ten krok - musisz podjąć działania, nie tylko dokumentować - ale im więcej posiadasz informacji, tym większe szanse, że będziesz w stanie zapobiec kolejnemu podobnemu cyberatakowi w przyszłości.

Krok 2: Ogranicz cyberatak

Odetnij atakującego, izolując go od zainfekowanych urządzeń. Zawieranie może pociągać za sobą:

  • Kończenie wszelkiej łączności sieciowej JAK NAJSZYBCIEJ: Aby zakończyć łączność sieciową dla wszystkich urządzeń w sieci, wyłącz router, odłączając go. (Uwaga: jeśli prowadzisz działalność biznesową, ten krok zazwyczaj nie jest możliwy). , Odłączanie kabli Ethernet: należy jednak zrozumieć, że cyberatak sieciowy mógł już rozprzestrzenić się na inne urządzenia w sieci. Jeśli tak, odłącz sieć od Internetu i odłącz każde urządzenie od sieci, dopóki nie zostanie przeskanowane pod kątem problemów bezpieczeństwa. Wyłączanie Wi-Fi na zainfekowanym urządzeniu: Ponownie atak sieciowy mógł już rozprzestrzenić się na inne urządzenia w sieci. Jeśli tak, odłącz sieć od Internetu i odłącz każde urządzenie od sieci, wyłączając Wi-Fi na routerze i dowolnych punktach dostępu, nie tylko na zainfekowanym komputerze. Wyłączanie danych komórkowych: Innymi słowy, przełącz urządzenie w tryb samolotowy. Wyłączanie Bluetooth i NFC: Bluetooth i NFC to technologie komunikacji bezprzewodowej, które działają z urządzeniami znajdującymi się blisko siebie. Wszelka taka komunikacja powinna zostać zablokowana, jeśli istnieje możliwość rozprzestrzeniania się infekcji lub hakerów przeskakujących z urządzenia na urządzenie. Odłączanie dysków USB i innych dysków wymiennych od systemu: Uwaga: Dyski mogą zawierać złośliwe oprogramowanie, więc nie podłączaj ich do innych systemów. Odwoływanie wszelkich praw dostępu wykorzystywanych przez osobę atakującą: jeśli masz wspólne urządzenie, a osoba atakująca korzysta z konta innego niż twoje, do którego w jakiś sposób uzyskał autoryzowany dostęp, tymczasowo ustaw to konto na brak praw do robienia czegokolwiek.

Jeśli z jakiegoś powodu potrzebujesz dostępu do Internetu z urządzenia, aby uzyskać pomoc w jego czyszczeniu, wyłącz wszystkie inne urządzenia w sieci, aby zapobiec rozprzestrzenianiu się cyberataków w sieci na twoje urządzenie

 Pamiętaj, że taki scenariusz jest daleki od ideału. Chcesz odciąć zainfekowane urządzenie od reszty świata, a nie tylko zerwać połączenia między nim a innymi urządzeniami.

Krok 3: Zakończ i wyeliminuj cyberatak

Zawarcie cyberataku to nie to samo, co zakończenie i wyeliminowanie ataku. Złośliwe oprogramowanie, które było obecne na zainfekowanym urządzeniu, jest nadal obecne po odłączeniu urządzenia od Internetu, podobnie jak wszelkie podatności, które zdalny haker lub złośliwe oprogramowanie mogło wykorzystać w celu przejęcia kontroli nad urządzeniem. Dlatego po powstrzymaniu cyberataku ważne jest oczyszczenie systemu.

Poniżej opisano niektóre kroki, które należy wykonać w tym momencie:

Uruchom komputer z dysku rozruchowego oprogramowania zabezpieczającego

Jeśli masz oprogramowanie rozruchowe z dysku rozruchowego z niego. Większość współczesnych użytkowników nie będzie mieć takiego dysku. Jeśli nie, przejdź do następnej sekcji.

  1. Usuń wszystkie napędy USB, DVD, CD, dyskietki (tak, niektórzy nadal je mają) i wszelkie inne napędy zewnętrzne z komputera. Włóż dysk rozruchowy do napędu CD / DVD. Zamknij komputer. Poczekaj dziesięć sekund i naciśnij przycisk zasilania, aby uruchomić komputer. Jeśli używasz komputera z systemem Windows i nie uruchamia się on z dysku CD, wyłącz urządzenie, poczekaj dziesięć sekund i uruchom go ponownie, naciskając przycisk rozruchu systemu BIOS (różne komputery używają różnych przycisków, ale większość z nich używa klawisza F, takich jak F1 lub F2), aby przejść do ustawień BIOS i ustawić, aby uruchamiał się z dysku CD, jeśli dysk CD jest obecny, przed próbą rozruchu z dysku twardego. Wyjdź z systemu BIOS i uruchom ponownie.

Jeśli używasz komputera z systemem Windows, uruchom komputer w trybie awaryjnym. Tryb awaryjny to specjalny tryb systemu Windows, który umożliwia uruchamianie tylko niezbędnych usług i programów systemowych podczas uruchamiania systemu. Aby to zrobić, wykonaj następujące kroki:

  1. Usuń wszystkie napędy USB, DVD, CD, dyskietki (tak, niektórzy nadal je mają) i wszelkie inne napędy zewnętrzne z komputera. Zamknij komputer. Poczekaj dziesięć sekund i naciśnij przycisk zasilania, aby uruchomić komputer. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8, aby wyświetlić menu Opcje rozruchu. Gdy pojawi się menu Opcje rozruchu, wybierz opcję rozruchu w trybie awaryjnym.

Jeśli używasz komputera Mac, uruchom go przy użyciu Bezpiecznego rozruchu. MacOS nie zapewnia pełnego odpowiednika trybu awaryjnego. Mac zawsze uruchamia się z włączoną obsługą sieci. Jest to bezpieczny rozruch, który uruchamia się czystiej niż normalny rozruch. Aby uruchomić bezpieczny rozruch, wykonaj następujące kroki:

  1. Usuń wszystkie napędy USB, DVD, CD, dyskietki (tak, niektórzy nadal je mają) i wszelkie inne napędy zewnętrzne z komputera. Zamknij komputer. Poczekaj dziesięć sekund i naciśnij przycisk zasilania, aby uruchomić komputer. Podczas uruchamiania komputera przytrzymaj klawisz Shift.

Starsze komputery Mac (wersje MacOS 6–9) uruchamiają się w specjalnym trybie superużytkownika bez rozszerzeń, jeśli użytkownik naciśnie klawisz Hold podczas ponownego uruchamiania. Porady dotyczące uruchamiania za pomocą Bezpiecznego rozruchu dotyczą tylko komputerów Mac z nowszymi systemami operacyjnymi.

Utworzyć kopię zapasową

Jeśli ostatnio nie utworzono kopii zapasowej danych, zrób to teraz. Oczywiście tworzenie kopii zapasowej zainfekowanego urządzenia niekoniecznie spowoduje zapisanie wszystkich danych (ponieważ niektóre mogą już być uszkodzone lub brakujące), ale jeśli nie masz jeszcze kopii zapasowej, zrób to teraz - najlepiej kopiując pliki na zewnętrzny dysk USB, który nie zostanie podłączony do żadnego innego urządzenia, dopóki nie zostanie poprawnie przeskanowany przez oprogramowanie zabezpieczające.

Usuń śmieci (opcjonalnie)

W tym momencie możesz chcieć usunąć wszelkie niepotrzebne pliki, w tym pliki tymczasowe, które w jakiś sposób stały się trwałe.

Dlaczego teraz usunięcie?

Cóż, powinieneś przeprowadzać okresową konserwację, a jeśli teraz czyścisz komputer, teraz jest dobry moment. Im mniej jest oprogramowania do skanowania i analizy, tym szybciej będzie ono działać. Ponadto niektóre złośliwe oprogramowanie ukrywa się w plikach tymczasowych, więc usunięcie takich plików może również bezpośrednio usunąć niektóre złośliwe oprogramowanie.

Dla użytkowników komputerów z systemem Windows jednym łatwym sposobem na usunięcie plików tymczasowych jest użycie wbudowanego narzędzia Oczyszczanie dysku:

  1. Kliknij menu Start. Kliknij Programy (lub Wszystkie programy). Kliknij Akcesoria (lub Akcesoria Windows) .. Kliknij prawym przyciskiem Narzędzia systemowe. Kliknij Akcesoria (lub Akcesoria Windows) Kliknij Oczyszczanie dysku.

Uruchom oprogramowanie zabezpieczające

Mamy nadzieję, że masz już zainstalowane oprogramowanie zabezpieczające. Jeśli to zrobisz, uruchom pełne skanowanie systemu. Jedno ważne zastrzeżenie: oprogramowanie zabezpieczające działające na zaatakowanym urządzeniu może być samo w sobie zagrożone lub bezsilne wobec odpowiedniego zagrożenia (w końcu naruszenie danych miało miejsce przy działającym oprogramowaniu zabezpieczającym), więc niezależnie od tego, czy taki skan jest czysty, rozsądne może być uruchomienie oprogramowania zabezpieczającego z rozruchowego dysku CD lub innego nośnika tylko do odczytu lub, w przypadku niektórych produktów, z innego komputera w sieci domowej.

Nie wszystkie marki oprogramowania zabezpieczającego przechwytują wszystkie warianty złośliwego oprogramowania. Specjaliści od bezpieczeństwa wykonujący „czyszczenie” urządzenia często uruchamiają oprogramowanie zabezpieczające od wielu dostawców.

Jeśli używasz komputera Mac, a Bezpieczny rozruch obejmuje dostęp do Internetu, uruchom procedury aktualizacji oprogramowania zabezpieczającego przed uruchomieniem pełnego skanowania.

Złośliwe oprogramowanie lub osoby atakujące mogą dodawać nowe pliki do systemu, usuwać je i modyfikować. Mogą również otwierać porty komunikacyjne. Oprogramowanie zabezpieczające powinno być w stanie rozwiązać wszystkie te scenariusze. Zwróć uwagę na raporty wydawane przez oprogramowanie zabezpieczające po jego uruchomieniu.

Śledź dokładnie to, co usunął lub naprawił. Ta informacja może być ważna, jeśli na przykład niektóre programy nie działają po czyszczeniu. (Może być konieczna ponowna instalacja programów, z których usunięto pliki lub których pliki zmodyfikowano pod kątem złośliwego oprogramowania. Usunięto złośliwe oprogramowanie). E-mailowe bazy danych mogą wymagać przywrócenia, jeśli w wiadomościach znaleziono złośliwe oprogramowanie, a oprogramowanie zabezpieczające nie było w stanie w pełni wyczyścić bałaganu.

Informacje o raporcie oprogramowania zabezpieczającego mogą być również przydatne dla cyberbezpieczeństwa lub specjalisty IT, jeśli ostatecznie zatrudnisz je w późniejszym terminie. Ponadto informacje zawarte w raporcie mogą dostarczyć wskazówek, od czego rozpoczął się cyberatak i co go umożliwiło, pomagając w ten sposób w zapobieganiu jego ponownemu wystąpieniu.

Oprogramowanie zabezpieczające często wykrywa i informuje o różnych materiałach nieatakowych, które mogą być niepożądane ze względu na ich wpływ na prywatność lub potencjalne nakłanianie użytkownika do wyświetlania reklam. Możesz na przykład zobaczyć alerty, że oprogramowanie zabezpieczające wykryło śledzące pliki cookie lub adware; nie jest to poważny problem, jednak możesz chcieć usunąć adware, jeśli reklamy Ci przeszkadzają.

W wielu przypadkach możesz zapłacić za aktualizację oprogramowania wyświetlającego reklamy do wersji płatnej bez reklam. Jeśli chodzi o odzyskiwanie po cyberataku, te niepożądane elementy nie stanowią problemu.

Czasami oprogramowanie zabezpieczające poinformuje cię, że musisz uruchomić dodatek, aby w pełni wyczyścić system. Na przykład firma Symantec oferuje narzędzie Norton Power Eraser, które mówi: „Eliminuje głęboko osadzone i trudne do wykrycia oprogramowanie przestępcze, którego nie zawsze wykrywa tradycyjne skanowanie antywirusowe”. Jeśli oprogramowanie zabezpieczające informuje cię, że musisz uruchomić taki skaner , powinieneś to zrobić, ale upewnij się, że otrzymałeś je z legalnego, oficjalnego, oryginalnego źródła.

Nigdy też nie pobieraj ani nie uruchamiaj skanerów tego rodzaju, jeśli zostaniesz o to poproszony nie w wyniku uruchomienia oprogramowania zabezpieczającego. Wiele fałszywych wyskakujących okienek doradzi ci podobnie, ale zainstaluj złośliwe oprogramowanie, jeśli pobierzesz odpowiednie „oprogramowanie zabezpieczające”.

Idealnie, te kroki pomogą ci iść naprzód, ale konsultacja ze specjalistą ds. Cyberbezpieczeństwa jest również dobrym pomysłem, aby zapewnić ochronę przed przyszłymi atakami.