Vykonanie neopakovateľných úkonov, zaistenie stôp

7. februára 2024

Predtým, než sa pustíte do obnovy, a hneď po tom, ako bolo zabezpečené, že útok sa sieťou ďalej nešíri, treba zaistiť tie stopy, ktoré by mohli byť ďalšou aktivitou poškodené.

Zaistenie stôp treba urobiť tak,

aby mohli byť použité v prípadnom trestnom konaní,
aby bolo možné dôkladne vyšetriť incident a zistiť prvotný vektor a priebeh útoku,
aby sa aj po obnove prevádzky bolo možné vrátiť k pôvodným dátam

V tejto fáze pomôže súdny znalec alebo odborník z CSIRT jednotky. Hoci nie je žiadúce, aby túto činnosť vykonával ktokoľvek bez hlbokých technických znalostí v danej oblasti, naznačíme aspoň niektoré z možností a aktivít:

zadokumentovanie okamžitého stavu v čase incidentu, vrátane exaktnej verzie operačného systému, rozdielu systémového času oproti skutočnému a doby behu napadnutých počítačov
uloženie obrazu (snapshot) celého virtuálneho servera – pamäť RAM aj diskové obrazy
získanie obrazu RAM na externé médium
získanie obrazu diskov na externé médium
vytvorenie snapshotov na dátovom úložisku
uchovanie informácií ako “ransomnote” – odkaz od útočníkov s kontaktnými a platobnými informáciami na útočníkov

Dátum prvého zverejnenia 07. 2. 2024. Posledná aktualizácia 07. 2. 2024 13:39