Выявление и защита скомпрометированных учетных записей

Шаг 1. Временно заблокируйте учетную запись пользователя, предположительно взломанную.

1. Приостановите действие учетной записи пользователя , чтобы предотвратить несанкционированный доступ.

   Примечание: приостановка действия учетной записи пользователя приводит к сбросу его учетных файлов cookie и токенов OAuth.

2. Проведите расследование потенциально несанкционированной активности и восстановите учетную запись. Также можно рассмотреть возможность регистрации домена в двухфакторной аутентификации (2SV).
3. Попросите пострадавшего пользователя проверить свой резервный адрес и заполнить контрольный список безопасности Gmail .

Шаг 2. Проверьте учетную запись на наличие несанкционированной активности.

1. Если скомпрометированный пользователь является администратором, просмотрите журналы аудита администратора на предмет любых изменений конфигурации, внесенных пользователем в последнее время. Пропустите этот шаг, если он не применим.
2. Проверьте мобильные устройства, связанные с затронутой учетной записью, и удалите все подозрительные данные с этих устройств.
3. Проведите расследование потенциально несанкционированной деятельности:
   1. Используйте журнал событий пользователей в консоли администратора, чтобы просмотреть полный список успешных и неудачных входов в систему через веб-интерфейс в вашем домене за период до 6 месяцев. Подозрительные входы помечаются значком предупреждения. Вы также можете получить данные о входах в систему для учетных записей домена через API отчетов .
   2. Используйте поиск по журналам электронной почты , чтобы просмотреть журналы доставки для ваших доменов и оценить передачу сообщений в потенциально скомпрометированные учетные записи и из них. Если учетная запись управляется Vault, вы можете использовать поиск по журналам электронной почты для анализа активности электронной почты.
      Примечание: Если ваши пользователи обновят свою версию до версии, включающей Vault, они смогут восстанавливать безвозвратно удаленные электронные письма или документы.
   3. Используйте отчет «Безопасность» , чтобы оценить подверженность домена рискам информационной безопасности. Вам следует ознакомиться со следующими отчетами:
      • События журнала OAuth
      • Группы регистрируют события
      • События журнала диска

        Поддерживаемые версии для этой функции: Frontline Starter, Frontline Standard и Frontline Plus; Business Starter, Business Standard и Business Plus; Enterprise Standard и Enterprise Plus; Education Fundamentals, Education Standard и Education Plus; Essentials Starter, Essentials, Enterprise Essentials и Enterprise Essentials Plus; G Suite Business. Сравните свою версию .

      • События в журнале календаря
   4. Проверьте, не были ли созданы какие-либо вредоносные настройки. Вы можете получить доступ к настройкам учетной записи пользователя (например, к настройкам пересылки) через API Gmail . Если вы подозреваете, что в рамках этой атаки использовалась учетная запись пользователя @gmail.com, пожалуйста, сообщите об этом .

Шаг 3. Отзовите доступ к затронутой учетной записи.

1. Выполните действия, описанные в разделе «Сброс пароля пользователя» .
2. Отозвать токены OAuth 2.0 у пользователя.
3. Некоторые приложения, использующие метод аутентификации OAuth 2.0, перестанут получать доступ к данным после сброса пароля пользователя . Пользователю необходимо войти в систему, используя свое имя учетной записи и новый пароль, чтобы получить новый токен OAuth 2.0.
4. Удалите пароли приложений , созданные пользователем.

Шаг 4. Восстановите доступ пользователя.

1. Разблокируйте аккаунт.
2. Сообщите пользователям их новые временные пароли и попросите их установить новые, уникальные пароли (не используйте пароли для других веб-сайтов или приложений).
3. Включите двухфакторную аутентификацию для домена и регистрируйте пользователей с помощью ключей безопасности (рекомендуется использовать вместо кодов 2SV).
4. Вместе с пользователями выполните контрольный список безопасности Gmail для конечных пользователей. Например, убедитесь, что все фильтры и параметры пересылки настроены должным образом.
   1. Обновите параметры восстановления учетной записи.
   2. Проверьте свой аккаунт на наличие необычной активности.
   3. Проверьте наличие отсутствующих или подозрительных сообщений.
   4. Проверьте свои контакты на наличие ошибок.
   5. Проверьте настройки Gmail.

Шаг 1. Зарегистрируйтесь для двухфакторной аутентификации с помощью ключей безопасности.

Включение двухфакторной аутентификации добавляет дополнительный уровень безопасности к учетным записям ваших пользователей. При входе в систему пользователям необходимо вводить код подтверждения в дополнение к имени пользователя и паролю. Подробнее см. в разделе «Добавление двухфакторной аутентификации» . Мы рекомендуем использовать ключи безопасности вместо кодов двухфакторной аутентификации для лучшей защиты от фишинга.

Шаг 2. Добавьте, защитите или обновите параметры восстановления.

Инструкции по добавлению дополнительных адресов электронной почты и номеров телефонов см. в разделе «Добавление параметров восстановления в учетную запись администратора» . Мы рекомендуем защитить дополнительные адреса электронной почты, изменив пароли или обновив их до нового адреса.

Шаг 3. Включите оповещения об активности учетной записи.

В качестве администратора вы можете настроить получение уведомлений об активности учетной записи при возникновении важных событий, таких как потенциально подозрительные входы в систему или изменения настроек служб другими администраторами.

Общие рекомендации по обеспечению безопасности вашей учетной записи можно найти в Центре безопасности Google.