Secondo Mandiant, non dovresti:
Mistake #1: Immediately entering “remediaton mode” – also known as playing “Whack-A-Mole”
... as described here: http://blog.mandiant.com/archives/1525
Esistono scenari in cui è prudente intraprendere un'azione immediata disconnettendosi?
Unita a questa domanda in quanto le risposte dovrebbero essere utili e simili:
Quando un server viene rootato (ad esempio una situazione come questa), una delle prime cose che puoi decidere di fare è contenimento. Alcuni specialisti della sicurezza consigliano di non immettere immediatamente la riparazione e di mantenere il server online fino a quando non saranno completate le analisi forensi. Questi consigli sono di solito per APT. È diverso se hai occasionali violazioni di script Kiddie, quindi puoi decidere di rimediare (aggiustare le cose) in anticipo. Uno dei passaggi di rimedio è il contenimento del server. Citando dalla risposta di Robert Moir - "disconnetti la vittima dai suoi rapinatori".
Un server può essere contenuto tirando il cavo di rete o il cavo di alimentazione.
Quale metodo è migliore?
Prendendo in considerazione la necessità di:
- Proteggere le vittime da ulteriori danni
- Esecuzione di analisi forensi di successo
- (Possibilmente) Protezione di dati preziosi sul server
Modifica: 5 ipotesi
Supponendo che:
- Hai rilevato in anticipo: 24 ore.
- Si desidera ripristinare in anticipo: 3 giorni di 1 amministratore di sistema sul lavoro (analisi forense e ripristino).
- Il server non è una macchina virtuale o un contenitore in grado di acquisire un'istantanea catturando il contenuto della memoria del server.
- Decidi di non tentare di perseguire.
- Sospetti che l'autore dell'attacco possa utilizzare qualche forma di software (possibilmente sofisticato) e questo software è ancora in esecuzione sul server.