Come rispondente di un incidente, vuoi sempre essere molto attento a quali supposizioni fai quando sei su un sistema. In questo senso, le tue domande sono abbastanza pertinenti.
Tuttavia, eserciti anche il tuo giudizio (in alcuni casi, forse erroneamente) su quanta cura sia richiesta in una particolare istanza. Ci sono dei limiti su cosa puoi fare con i sistemi ospitati da cloud pubblico. Cerchi di lavorare con quei limiti (come non essere in grado di fare il boot da un CD); e trovare soluzioni alternative dove possibile. ad es., se non hai bisogno di live forensics, puoi creare la tua "immagine di avvio attendibile con strumenti attendibili", avviare da quell'immagine, collegare i dischi in questione e investigare. Questo è praticamente lo stesso principio di portare i propri dischi di avvio (CD o unità USB). Lo faccio per impostazione predefinita solo quando lavoro su server altamente sensibili, in cui è probabile che gli avversari siano altamente qualificati.
In tutti gli altri casi prendo il percorso più efficiente / pragmatico - come suggerisce @ john-deters.
Le Live Forensics sono un po 'più sfuggenti. Nessun semplice how-to-go. È possibile montare un disco con i propri strumenti (in realtà, in molti casi lo si fa) ma che comporta i propri rischi.
Infine, se hai intenzione di installare strumenti IR remoti (come per esempio il GRR), puoi solo prendere delle precauzioni mentre installi gli strumenti. Come ulteriore precauzione, dovresti creare un avviso di integrità del file (hai bisogno di logging remoto per questo) per assicurarti che il pacchetto GRR non sia alterato in alcun modo. Se ciò non viene attivato, probabilmente sei (sì probabilmente, non certamente!) Su un terreno solido quando accedi per l'IR da remoto.