インシデント対応における証拠収集

セキュリティインシデント対応の状況では、インシデントの封じ込めは証拠保全の前に行う必要があります。例として、会社でのハッキングを想像してみてください。ハッカーが会社のシステムを危険にさらす能力を、彼が既に行った以上に制限したいでしょう。

インシデントが封じ込められて初めて、証拠保全が機能するようになります。 関連データを収集するときは、日付/時刻、ユーザーログインなどの証拠の整合性を保つことが非常に重要です。

アンソニーと妖怪の答えに同意します。

ただし、環境によっては、軽微なインシデントの場合、影響を受けるホストを隔離することができます。横移動などの証拠がない初期段階のフィッシング.

インシデントがネットワーク全体に広がっていないと思われるこれらのシナリオでは、単にそれを分離することができます。

次に、影響を受ける資産の重要度に応じて、次の2つのいずれかを実行できます。

1）影響を受けた資産が重要ではない場合-可能であれば（そしてこれは議論の余地があります）、攻撃のプレイアウトを分析して、これが会社のインフラストラクチャへの標的型攻撃または一般的な攻撃であるかどうかを知るために後で分析します。しかし、これは、より大きなインシデントレスポンスチームが参加し、その間に残りのネットワークの異常を探し、攻撃を分析する法医学の専門家がいるかどうかにも依存します。

2）影響を受けるアセットが重要である場合-攻撃の種類に応じて（例：フィッシング）、AVスキャンを実行し、影響を受けるユーザーのビジネスメール認証情報を取り消します。ランサムウェアなどの場合は、証拠を収集してOSをロールバックします。 。

結局のところ、インシデントレスポンスは非常に動的であり、それはすべて、IRチームとの迅速な決定、対処するインシデントの種類、およびネットワーク環境の性質に関するものです。

乾杯

これは当然のことですが、Anthonyが述べたように、何よりもまず事件を封じ込めたいでしょう。攻撃者がまだ自由である間に、情報（クライアントアカウント、従業員の個人情報、データベースファイルなど）のセキュリティを信頼している何百万ドルもの会社をハッキングする証拠を収集しようとすることはあまり意味がありません。すぐに対策を講じることなく、さらに多くの損害を与えること。

はい、インシデントを最初に封じ込める必要があります。あなたの仕事（セキュリティ会社で働いている場合）はおそらくそれに依存します。