Системные администраторы – специалисты, на которых иногда держится работа целой компании. Чтобы немного облегчить жизнь админов, наши специалисты по кибербезопасности подготовили короткий чек-лист действий, которые необходимо делать в случае атаки ресурсов компании злоумышленником. Сразу предупредим, что наши советы не спасут от массовых DDoS-атак. Но помогут в случае попыток единичных взломов сайтов или сетевого оборудования компании.
Представим обычный рабочий день. Вы выполняете рабочие задачи, однако замечаете в сислогах роутера подозрительные действия. Кто-то активно подбирает к нему пароль и вы видите с какого именно ip-адреса злоумышленник это делает. Так каковы ваши действия? Думаю большинство позвонит в техподдержку провайдера компании и оставит заявку с жалобой на конкретный ip-адрес и просьбой заблокировать его. Однако провайдера такая ситуация не совсем касается и вряд ли он бросит все, чтобы помогать вам. Так что же делать?
Вам необходимо собрать конкретную информацию об ip-адресе злоумышленника и отправить жалобу в правильное место и в правильное время.
Для начала разберемся с сервисами по сбору информации о злоумышленнике. Сегодня существуют бесплатные решения, позволяющие установить прямую принадлежность ip-адреса к конкретному домену и иногда даже выяснить адрес злоумышленника.
Первый сервис — Talos Intelligence от Cisco.
- местонахождение, с которого хакер пытается сломать ваш роутер — конкретный регион и город;
- принадлежность к конкретному домену, владельцу домена — в большинстве случаев компанию, которой он принадлежит;
- и даже проверить репутацию ip-адреса. Что-то вроде справки о несудимости, но в онлайн-мире.