from one of the interviews I had, I have no knowledge in system security
Conosco diverse persone con CISSP che avrebbero difficoltà a rispondere alla domanda in modo competente: a che scopo è stato l'intervista? Davvero la mia domanda è quale livello di abilità / sforzo è previsto dalla persona che pone la domanda?
trivial stuff like checking Firewall Settings or Security Updates
Questa è una cosa piuttosto strana da dire. se la risposta degli intervistati prima è stata quella di iniziare a guardare il vettore dell'infezione, allora l'intervistatore dovrebbe mettere in discussione il loro approccio. OTOH, prenderei in considerazione la possibilità di valutare il vettore dell'infezione come un metodo utile per identificare possibili candidati per il malware.
Dovresti sempre iniziare con i controlli ovvi / a buon mercato:
A customer suspects that one of his endpoints got infected by malware
Il mio primo passo sarebbe stabilire perché il cliente lo sospetti. Da quel momento in poi i passaggi successivi si diramano - non c'è un singolo percorso che ti porti alla risposta in ogni caso. Dai priorità alle azioni che massimizzeranno la quantità di informazioni sul malware per il minimo sforzo / costo.
Alcune delle cose da vedere:
- c'è un momento in cui il sistema si trova in un noto stato buono?
- quali file sono cambiati dal noto stato buono?
- c'è un anti-malware installato sul sistema
- funziona
- se no, quando si è fermato
- sta segnalando qualcosa
- quali processi sono in esecuzione?
- come si confronta con un sistema simile che non è infetto
ecc.
Ad un certo punto potrebbe essere necessario intervenire con il funzionamento del sistema. Anche se questo è forse oltre lo scopo della risposta attesa dall'intervistatore, è essenziale preservare lo stato della macchina prima dell'intervento per identificare il malware - anche se non stiamo parlando di una scena del crimine, mappando la rete causa / effetto spesso richiede il backtracking.