考虑到networking细分问题,如何定义在违规情况下重置密码的范围?
更改与受损系统位于同一networking上的所有计算机上的所有帐户的所有密码。 不完全是。 所有帐户。 所有的电脑。 是的,你是对的,这可能是矫枉过正的; 另一方面,它可能不是。
背景:
在为我的日常工作编写事件响应计划时,我提到如何处理受损服务器? 对于什么时候应该发生的一些想法。 我正在使用PCI DSS范围工具包定义的分段networking。 我的设置涉及非域和应用了内部分段的域。
根据你的敏感程度,我build议你考虑两个领域(我最初写的是“偏执狂”,但是我认为在缩小你的反应水平和做得不够好的后果上是有效的) 。
我个人认为任何Windows AD域名(* 其他集中的帐户pipe理服务都可用,假设我正在谈论他们 ),受害者被连接到嫌疑犯。 虽然这些日子不那么stream行,但过去曾经发生过攻击,使用捕获的“域用户”帐户对域进行身份validation,并成为危害域pipe理员帐户的起点。
我担心的另一个领域是您的系统可能位于您的集中式身份validation机制之外,但是用户已经重新使用了帐户详细信息。 一旦你有一个用户名/密码组合从一个来源收集它相当微不足道的玩这个组合回到其他系统,你可以find,看看它是否工作。
最后,不要忘记使用隐藏在代码本身的证书(例如数据库连接等)连接到受感染的服务器的任何系统。
如果您正在研究范围工具包中使用的分割的定义,例如完全隔离,那么您可以合理确定攻击没有跨越这些边界。 这实际上是一个很好的起点。 在很多方面,通过在问题之前解决这个问题,你已经在游戏中遥遥领先了 – 我写下了你所提到的问题,作为那些还没有计划的人的指南。
我认为,所有连接到入侵地点的networking都在您的pipe理控制之下,并通过IP连接进行连接。 IP连接意味着不受限制,或由防火墙规则允许。 本质上,任何可能的networking,攻击者可以在其中进行转接。