Комментарии 10
Восстановление контроллеров домена и серверов 1С из резервных копий заняло несколько дней.
А с каких резервных копий восcтанавливали, если "злоумышленник использовал доступ бывшего сотрудника, чтобы удалить резервные копии с лент" ?
Скорее всего было ещё оффлайновое хранилище, либо скомпрометировали только один из хостов хранения резервных копий. Тут, как говорится, резервных копий много не бывает :)
Ленты, насколько я помню, тем и удобны что их можно из библиотеки извлечь и хранить офлайн. Другое дело, что база лент и ПО работы с ними, скорее всего, было зашифровано вместе с серверами.
" Периодически проверяйте журналы безопасности на подозрительные события. " - я бы сказал - настройте автоматическое информирование.
Не увидел пункта плана в случае если вредоносное ПО будет модифицировать рабочие документы.
Спасибо, действительно можно расширить. Попробую здесь:
Неизменяемые бэкапы с регулярными снапшотами для восстановления оригиналов;
Версионность критичных документов в защищенных хранилищах.
При инциденте - немедленная изоляция, возможно форензик для определения масштаба, и восстановление из последней чистой копии. Главное - заранее протестировать процедуры восстановления, а не просто верить в DRP.
Несмотря на описание ситуации в, якобы, торговой компании, ситуация подозрительно напоминает "провал" в СДЭКе.
Шифровальщик внутри: план по восстановлению инфры + чеклист для профилактики вирусов