1. Datamaskiner Datanettverk Nettverkssikkerhet Hva skal gjøres etter et databrudd: 3 trinn for å gjenopprette uten Pro

Av Joseph Steinberg

Datainnbrudd er fryktet av de fleste fagpersoner og organisasjoner innen cybersikkerhet. Faktisk er mye av planleggingen som gjøres i cybersecurity-verdenen et forsøk på å forhindre at en slik hendelse oppstår. Men de best lagt cybersecurity-planene går ofte galt.

Hvis du ikke har muligheten til å få inn en proff, er de følgende trinnene du bør følge. Disse trinnene er egentlig de fleste fagfolk innen cybersikkerhet følger:

  1. Finn ut hva som skjedde (eller skjer). Inneholder cyberattacken. Avslutt og eliminere nettangrepet.

Trinn 1: Finn ut hva som skjedde eller skjedde med nettangrepet

Hvis mulig, vil du finne ut så mye om nettangrepet som mulig, slik at du kan svare deretter. Hvis en angriper overfører filer fra datamaskinen din til en annen enhet, for eksempel, vil du koble enheten fra Internett ASAP.

Når det er sagt, har de fleste hjemmebrukere ikke de tekniske ferdighetene til å analysere og forstå nøyaktig hva arten av et bestemt cyberattack kan være - med mindre angrepet selvfølgelig er åpenbart.

Samle så mye informasjon du kan om

  • Hva skjedde for å forårsake nettangrepet Hvilke informasjonssystemer og databaser ble rammet Hva kan en kriminell eller annen rampete part gjøre med det stjålne materialet Hvem, foruten deg selv, kan bli utsatt for risikoer på grunn av datainnbruddet (dette inkluderer potensielle implikasjoner for arbeidsgiveren din)

Ikke bruk mye tid på dette trinnet - du må iverksette tiltak, ikke bare dokumentere - men jo mer informasjon du har, jo større er sjansene for at du vil kunne forhindre en annen lignende cyberattack i fremtiden.

Trinn 2: Inneholder cyberattack

Klipp av angriperen ved å isolere ham eller henne fra de kompromitterte enhetene. Inneholder kan innebære:

  • Avslutte all nettverkstilkobling ASAP: For å avslutte nettverkstilkoblingen for alle enheter i et nettverk, må du slå av ruteren ved å koble fra den. (Merk: Hvis du er i en forretningsinnstilling, er dette trinnet vanligvis ikke mulig). , Koble fra Ethernet-kabler: Forstå imidlertid at et nettverksbårent cyberattack allerede har spredt seg til andre enheter i nettverket. I så fall må du koble nettverket fra Internett og koble hver enhet fra nettverket til det skannes for sikkerhetsproblemer. Slå av Wi-Fi på den infiserte enheten: Igjen kan et nettverksbårent angrep allerede ha spredt seg til andre enheter i nettverket. I så fall må du koble nettverket fra Internett og koble hver enhet fra nettverket ved å slå av Wi-Fi på ruteren og eventuelle tilgangspunkter, ikke bare på den infiserte datamaskinen. Slå av celledata: Sett med andre ord enheten i flymodus. Slå av Bluetooth og NFC: Bluetooth og NFC er begge trådløse kommunikasjonsteknologier som fungerer med enheter som er i nær fysisk nærhet til hverandre. All slik kommunikasjon bør blokkeres hvis det er mulighet for at infeksjoner sprer seg eller hackere hopper fra enhet til enhet. Koble fra USB-stasjoner og andre flyttbare stasjoner fra systemet: Merk: Stasjonene kan inneholde skadelig programvare, så ikke koble dem til andre systemer. Oppheving av alle tilgangsrettigheter som angriperen utnytter: Hvis du har en delt enhet og angriperen bruker en annen konto enn din som han eller hun på en eller annen måte fikk autorisert tilgang til, må du stille kontoen midlertidig til å ikke ha rettigheter til å gjøre noe.

Hvis du av en eller annen grunn trenger Internett-tilgang fra enheten din for å få hjelp til å rydde den opp, kan du slå av alle andre enheter i nettverket ditt, for å forhindre at cyberattacks sprer seg over nettverket til enheten din

 Husk at et slikt scenario langt fra er ideelt. Du vil kutte den infiserte enheten fra resten av verden, ikke bare koble forbindelsene mellom den og de andre enhetene dine.

Trinn 3: Avslutt og fjern nettangrepet

Å inneholde et nettangrep er ikke det samme som å avslutte og eliminere et angrep. Malware som var til stede på den infiserte enheten, er fremdeles til stede etter å ha koblet enheten fra Internett, for eksempel, som alle sårbarheter som en ekstern hacker eller malware kan ha utnyttet for å ta kontroll over enheten din. Så etter å ha inneholdt cyberattacken, er det viktig å rydde opp i systemet.

Følgende beskriver noen trinn du vil følge på dette punktet:

Start datamaskinen fra en oppstartsdisk for sikkerhetsprogramvare

Hvis du har en oppstartsdiskstart fra sikkerhetsprogramvare fra den. De fleste moderne brukere vil ikke ha en slik disk. Hvis du ikke gjør det, flytter du til neste avsnitt.

  1. Fjern alle USB-stasjoner, DVDer, CDer, disketter (ja, noen mennesker har dem fortsatt) og andre eksterne stasjoner fra datamaskinen. Sett opp startdisken i CD / DVD-stasjonen. Slå av datamaskinen. Vent ti sekunder og trykk på strømknappen for å starte datamaskinen. Hvis du bruker en Windows-datamaskin og den ikke starter fra CD-en, slår du av maskinen, venter ti sekunder og starter den på nytt mens du trykker på BIOS-startknappen (forskjellige datamaskiner bruker forskjellige knapper, men de fleste bruker noen F-tast, for eksempel F1 eller F2) for å gå inn i BIOS-innstillingene og angi at den starter fra CD-en hvis det er en CD, før du prøver å starte fra harddisken. Gå ut av BIOS og start på nytt.

Hvis du bruker en Windows-PC, kan du starte datamaskinen i sikkermodus. Safe Mode er en spesiell modus for windows som bare lar viktige systemtjenester og programmer kjøres når systemet starter. Følg denne fremgangsmåten for å gjøre dette:

  1. Fjern alle USB-stasjoner, DVDer, CDer, disketter (ja, noen mennesker har dem fortsatt) og andre eksterne stasjoner fra datamaskinen. Slå av datamaskinen. Vent ti sekunder og trykk på strømknappen for å starte datamaskinen. Mens datamaskinen starter trykker du på F8-tasten gjentatte ganger for å vise Boot Options-menyen. Når Boot Options-menyen vises, velg alternativet for å starte opp i sikkermodus.

Hvis du bruker en Mac, kan du starte den med Safe Boot. MacOS gir ikke fullstendig ekvivalent med Safe Mode. Mac-maskiner starter alltid opp når nettverk er aktivert. Det er Safe Boot, men starter renere enn en vanlig boot. Følg denne fremgangsmåten for å trygge oppstart:

  1. Fjern alle USB-stasjoner, DVDer, CDer, disketter (ja, noen mennesker har dem fortsatt) og andre eksterne stasjoner fra datamaskinen. Slå av datamaskinen. Vent ti sekunder og trykk på strømknappen for å starte datamaskinen. Hold nede Skift-tasten mens datamaskinen starter.

Eldre Mac-maskiner (macOS versjoner 6–9) starter i en spesiell superbrukermodus uten utvidelser hvis en bruker trykker på hold-tasten under omstart. Rådene om å starte opp med Safe Boot gjelder bare Mac-maskiner som har nyere operativsystemer.

backup

Hvis du ikke har sikkerhetskopiert dataene dine nylig, gjør du det nå. Sikkerhetskopiering av en kompromittert enhet vil naturligvis ikke nødvendigvis lagre alle dataene dine (fordi noen allerede er ødelagte eller mangler), men hvis du ikke allerede har en sikkerhetskopi, gjør du det nå - ideelt ved å kopiere filene dine til en ekstern USB-stasjon som du ikke vil koble til andre enheter før den er skannet riktig av sikkerhetsprogramvare.

Slett søppel (valgfritt)

På dette tidspunktet kan det være lurt å slette filer du ikke trenger, inkludert midlertidige filer som på en eller annen måte har blitt permanente.

Hvorfor sletter du nå?

Vel, du bør utføre periodisk vedlikehold, og hvis du rydder i datamaskinen nå, er det nå et godt tidspunkt. Jo mindre det er for sikkerhetsprogramvare å skanne og analysere, jo raskere vil den kjøre. Noen skadelig programvare skjuler seg også i midlertidige filer, så hvis du sletter slike filer, kan du også fjerne skadelig programvare direkte.

For brukere av Windows-datamaskiner er en enkel måte å slette midlertidige filer å bruke det innebygde Diskopprydding verktøyet:

  1. Klikk på Start-menyen. Klikk på Programmer (eller Alle programmer). Klikk på Tilbehør (eller Windows-tilbehør) .. Høyreklikk på Systemverktøy. Klikk på Tilbehør (eller Windows-tilbehør) Klikk på Diskopprydding.

Kjør sikkerhetsprogramvare

Forhåpentligvis har du allerede installert sikkerhetsprogramvare. Hvis du gjør det, kjører du en full systemskanning. Et viktig påminnelse: Sikkerhetsprogramvare som kjører på en kompromittert enhet kan i seg selv bli kompromittert eller impotent mot den aktuelle trusselen (tross alt skjedde datainnbruddet med sikkerhetsprogramvaren som kjører), så uansett om en slik skanning kommer opp, er det kan være lurt å kjøre sikkerhetsprogramvaren fra en startbar CD eller annet skrivebeskyttet medium, eller, i tilfeller av noen produkter, fra en annen datamaskin i hjemmenettverket.

Ikke alle merker av sikkerhetsprogramvare fanger alle varianter av skadelig programvare. Sikkerhetsfagfolk som gjør en enhet "rydde opp", kjører ofte sikkerhetsprogramvare fra flere leverandører.

Hvis du bruker en Mac og Safe Boot inkluderer Internett-tilgang, kan du kjøre oppdateringsrutinene for sikkerhetsprogramvaren før du kjører full skanning.

Malware eller angripere kan legge til nye filer i et system, fjerne filer og endre filer. De kan også åpne kommunikasjonsporter. Sikkerhetsprogramvare skal kunne adressere alle disse scenariene. Vær oppmerksom på rapportene som er gitt av sikkerhetsprogramvaren etter at den kjøres.

Hold oversikt over nøyaktig hva den fjernet eller repareres. Denne informasjonen kan være viktig, hvis for eksempel noen programmer ikke fungerer etter opprydningen. (Det kan hende du må installere programmer som filene ble fjernet fra, eller hvor malware-modifiserte filer malware ble fjernet fra.) Det kan hende at e-postdatabaser må gjenopprettes hvis skadelig programvare ble funnet i meldinger og sikkerhetsprogramvaren ikke klarte å rydde opp fullstendig.

Informasjon om sikkerhetsprogramvarerapport kan også være nyttig for en cybersecurity eller IT-profesjonell hvis du ender med å ansette en på et senere tidspunkt. Informasjonen i rapporten kan også gi deg ledetråder om hvor nettangrepet startet og hva som gjorde det mulig å skje, og dermed også hjelpe deg med å veilede deg om å forhindre at den gjentar seg.

Sikkerhetsprogramvare oppdager og rapporterer ofte om ikke-angrepsmateriale som kan være uønsket på grunn av deres innvirkning på personvernet eller potensialet for å anmode en bruker med reklame. Du kan for eksempel se varsler om at sikkerhetsprogramvare har oppdaget sporing av informasjonskapsler eller adware; heller ikke noe alvorlig problem, men det kan være lurt å fjerne adware hvis annonsene plager deg.

I mange tilfeller kan du betale for å oppgradere programvaren som viser annonsene til en betalt versjon som mangler annonser. Når det gjelder å komme seg etter et nettangrep, er ikke disse uønskede elementene et problem.

Noen ganger vil sikkerhetsprogramvare informere deg om at du trenger å kjøre et tillegg for å fullstendig rengjøre et system. Symantec tilbyr for eksempel Norton Power Eraser, som sier at “Eliminerer dypt innebygd og vanskelig å oppdage krimprogramvare som tradisjonell virusscanning ikke alltid oppdager.” Hvis sikkerhetsprogramvaren din informerer deg om at du trenger å kjøre en slik skanner , bør du gjøre det, men sørg for at du får det fra den legitime, offisielle, originale kilden.

Du må heller ikke laste ned eller kjøre noen skanner av en slik art hvis du blir bedt om å gjøre det ikke som et resultat av å kjøre sikkerhetsprogramvare. Mange useriøse popups vil gi deg beskjed på lignende måte, men installer skadelig programvare hvis du laster ned den relevante "sikkerhetsprogramvaren."

Ideelt sett vil disse trinnene hjelpe deg med å komme deg videre, men å konsultere en cybersecurity-profesjonell er også en god ide å sikre at du er beskyttet mot fremtidige angrep.