Первое, что нужно в такие моменты —
не паниковать. В таких ситуациях эмоции хуже хакеров.
В 11:12 мы провели экспресс-проверку:
- Обнаружили нестандартную активность с двух IP-адресов (один — Казахстан, другой — Германия);
- Один из компьютеров был под внешним управлением (удалённый доступ, о котором никто не знал);
- Последняя авторизация по VPN — в 03:26 ночи.
“В этой сети — кто-то чужой.”Мы мгновенно отрубили подозрительные подключения, сменили пароли администратора и отключили весь внешний доступ, кроме 2 доверенных устройств.
- Параллельно мы настроили мониторинг в режиме реального времени: кто, куда, зачем.