De Amerikaanse autoriteiten hebben samen met Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk technisch advies gegeven voor het vinden en herstellen van besmette systemen. Volgens het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security vereist incident response verschillende technische aanpakken om besmette systemen te vinden en hiermee om te gaan.
Het advies bestaat voornamelijk uit een lange reeks van punten die bij de verschillende stappen tijdens het onderzoek moeten worden gevolgd. Het gaat dan bijvoorbeeld om het verzamelen van bewijsmateriaal en wat aanwijzingen van verdacht gedrag kunnen zijn bij zowel het analyseren van hosts als netwerken. Vervolgens worden veelvoorkomende fouten genoemd bij het omgaan met incidenten, zoals het herstellen van systemen voordat data is veiliggesteld, het voortijdig resetten van wachtwoorden en het niet verzamelen van loggegevens.
Verder worden er allerlei best practices gegeven om infecties te voorkomen, zoals het uitschakelen van ongebruikte diensten en systemen, waaronder FTP en Telnet, het verwijderen van besmette systemen uit het netwerk, het uitschakelen van onnodige poorten, protocollen en diensten, alsmede het omgaan met netwerkbeheertools en onbeveiligde remote desktop services.
Afsluitend volgen verschillende generieke beveiligingsadviezen, waaronder het onderwijzen van gebruikers, het toepassen van allowlisting, het maken van back-ups, het beheer van werkstations en accounts, het inschakelen van logging en het opzetten van een veilige netwerkinfrastructuur. Zo wordt er ook ingegaan op zaken als netwerk- en functiescheiding. "Het doel van deze rapportage is om incident response onder partners en netwerkbeheerders te verbeteren en tegelijkertijd als draaiboek voor incidentonderzoeken te dienen", aldus het CISA.
Deze posting is gelocked. Reageren is niet meer mogelijk.