Как украденные пароли дизайнера чуть не угробили стартап [MITRE: T1078 — Valid Accounts]
Описание инцидента: Злоумышленник использует украденные учетные данные (например, от сотрудника или подрядчика) для входа в сервер, сайт или облако компании.
План реагирования:
1. Обнаружение: Заметить подозрительную активность в логах (например, вход ночью).
2. Блокировка: Отключить учетную запись и сменить все пароли.
3. Оповещение: Сообщить руководству и проверить, какие данные могли быть украдены.
4. Проверка: Просмотреть действия злоумышленника в системе.
5. Усиление: Ограничить доступ по IP и обновить политики паролей.
6. Расследование: Установить, как данные были украдены (фишинг, утечка).
Источник: Хабрахабр
