In caso di risposta agli incidenti, la raccolta delle prove deve essere effettuata prima del contenimento dell'incidente o dopo?
Se entrambi, quando la raccolta delle prove dovrebbe essere fatta prima e quando dovrebbe essere fatta dopo ( esempi sono accolti )?
NB: Per la raccolta delle prove, sto pensando più specificamente alla memoria l'imaging .
In una situazione di risposta agli incidenti di sicurezza, il contenimento degli incidenti dovrebbe arrivare prima della conservazione delle prove. Per fare un esempio, immagina un trucco per la tua azienda. Vorresti limitare la capacità dell'hacker di compromettere il sistema della tua azienda più di quanto non abbia già fatto.
Solo dopo che l'incidente è stato contenuto, la prova della conservazione entrerà in gioco. È estremamente importante preservare l'integrità delle prove come date / orari, accessi degli utenti ecc. durante la raccolta dei dati rilevanti.
Questo dovrebbe essere un dato ma, come ha affermato Anthony, vorrai contenere l'incidente prima di tutto. Non avrebbe molto senso cercare di raccogliere prove per un trucco su una società da milioni di dollari che si fida della sicurezza delle sue informazioni (account cliente, informazioni personali dei dipendenti, file di database, ecc.) Mentre un aggressore era ancora libero fare ancora più danni senza che vengano prese immediatamente misure preventive.
Sì, l'incidente deve essere contenuto per primo. Il tuo lavoro (se lavori per una società di sicurezza) dipenderà probabilmente da questo.
Sono d'accordo con le risposte di Anthony e Yokai.
Tuttavia, in alcuni ambienti, è possibile isolare l'host interessato se si tratta di un incidente minore, ad es. Phishing nella sua fase iniziale per cui non ci sono prove di movimenti laterali ecc.
In questi scenari, dove si ritiene che l'incidente non si sia diffuso attraverso la rete, potresti semplicemente isolarlo.
Successivamente, a seconda di quanto sia importante l'asset interessato, potresti fare una delle due cose;
1) Se la risorsa interessata non è critica - se possibile (e questo è discutibile) lascia che l'attacco esegua il playout in modo da sezionarlo dopo per ottenere informazioni se questo è un attacco mirato sulla tua infrastruttura aziendale o un attacco generico. Tuttavia, ciò dipende anche dal fatto che si ha un team di Incident Response più numeroso da dedicare alla ricerca di anomalie sul resto della rete e specialisti forensi che analizzeranno l'attacco.
2) se l'asset interessato è critico - a seconda del tipo di attacco che è .. es. Phishing, esegui scansioni AV su di esso, mentre revochi le credenziali email aziendali dell'utente interessato ecc. Se è ransomware e altro, raccogli prove e ripristinare il sistema operativo.
Alla fine, la risposta agli incidenti è estremamente dinamica, e si tratta solo di decisioni rapide con il tuo team IR, che tipo di incidente hai a che fare e della natura dell'ambiente di rete.
applausi
Leggi altre domande sui tag forensics incident-response