ハッキングされた後のダメージを評価する方法

したがって、この質問には2つの側面があります。

1。私は今何ができますか？私はハッキングされています。

a。システムログを表示できます。システムの異なるネットログを解析する代わりに、log2timelineなどのタイムラインツールを使用する方が簡単な場合があります。これにより、すべてのタイムラインエビデンスアーティファクトが収集され、読みやすい.csvファイルに配置されます。タイムライン情報は、実際には1か所にあるすべての利用可能なログソースです。これは、妥協のさまざまな指標を特定し、システムの調査に時間を費やす必要がある場所を見つけるのに役立ちます。

b。できるだけ早くメモリのスナップショットをキャプチャする必要があります。システムにマルウェアの残りが残っているか、攻撃者に関するネットワーク情報がキャッシュされている可能性があります。 MoonSols DumpItなどの無料のメモリ取得ツールがいくつかあります。メモリーのコピーを取得したら、それを分析する必要があり、Mandiant Redline（無料）などのツールを使用できます。

c。システムで何が取られたかを見つけることに真剣に取り組んでいる場合は、説明責任のために、ハードドライブのフォレンジックイメージを取得し、そのイメージから作業を行う必要があります。 FTK Imagerなどの無料のHDDイメージングツールがいくつかあります。 HDDのスナップショットを取得したら、Autopsyフォレンジックスイートなどのフォレンジック取得ツールキットを使用してHDDを実行できます。次に、不正なファイルハッシュリストに対してファイルを実行できます。これは、過去にマルウェアから取得したハッシュに基づいて、PC上の悪意のあるファイルについて警告します。フォレンジック取得ツールにハッシュリストをロードして、ファイルシステムに対して実行できます。 NSRL（National Software Reference Library）で無料の最新のハッシュリストを見つけることができます。

2。今後ハッキングされるのを防ぐ方法。

a。 PCのHIDSエージェントでログ収集および分析ツールを使用することをお勧めします。 OSSECは、非常にうまく機能するオープンソースのHIDSエージェントです。 PCからログを収集し、システムの重要なファイルやレジストリエントリを監視します。

b。 NIDSシステムを採用することをお勧めします。これは、ネットワーク上の妥協の兆候を監視します。 suricataなどのツールは、優れた監視機能を提供します。 SecurityOnionをチェックしてください。これは、suricataなどのツールが満載されたLinuxディストリビューションです。 NIDSシステムのセットアップが非常に簡単になります。

c。本当にパッチを適用する必要があります。 OpenVAS（オープンソース）などの脆弱性評価ツールを採用します。これにより、ネットワークの脆弱性を常に把握できます。

d。確実なインシデント対応計画を立ててください!!!これはとても重要です。

e。 SANSの上位20の重要なセキュリティ管理策に従ってください。

答えは、実行しているものに大きく依存します（たとえば、パーソナルPCと大企業のサーバー、使用中のオペレーティングシステム）。私の最初のステップは、この分野の専門家に連絡することです。コンピューターのセキュリティチームやIT部門（社内など）にアクセスできる場合は、すぐに相談します。米国を拠点としている場合は、コンピュータ緊急対応チームで利用可能なリソースを利用できるでしょう： https://www.us-cert.gov/ 世界的に、あなたを助けることができるチームをここに見つけるかもしれません： http://www.first.org/

これがあなたの個人用PCであり、別のコンピューターのセキュリティ専門家に連絡できない場合は、コンピューターをインターネットから切断して、さらなる被害を防ぎ（可能な場合）、ログファイルを調べて、ハッカーが何をしたかを調べます。これを行う方法は、実行しているオペレーティングシステムによって異なります。ログファイルのレビューを容易にするツールがあります（Splunkを含む）。 Linuxサーバーを実行している場合、この質問はフォレンジックにも役立ちます： サーバーが危険にさらされていることはどのようにしてわかりますか？ 別の良い質問は次のとおりです： Webサーバーの侵害後のフォレンジック

私がたった今この質問の下で、いくつかの優れたログファイルレビューツールを見つけることができるかもしれません： -tools