@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

復旧優先

インシデントが発生したシステムが重要になればなるほど、(運用上)電源断は難しくなるでしょうし、迅速な復旧を望まれると思います。「犯罪捜査 vs 企業活動」という点では、犯罪捜査に必要となる電源断が、実際に受けた被害額より多いとなると困りますやね。
そんなこんなで?、なるべく電源を落とさずに証拠保全やら復旧を行う方向へ流れているわけですが、システムを稼働させたまま復旧という面ではいろいろと懸念事項があります。*1
rootkitバックドアが仕掛けられたままだったりすると困りますので、そういったものが仕掛けられていないかを調査したりする必要もあります。
ウイルススキャンや、rootkit を発見するツールを使って調べたくなるわけですが、本番環境にいきなりそれらをインストール&実行して、OS が STOP したりすると意味がないですやね。
それに、本番環境で日頃使ったことないコマンドやプログラムを実行したり、参考書籍を片手にゴソゴソ調べる*2のも微妙な気がします。こいう場合は複製した環境で調べるほうが安全・確実だと思うので、昨日の小ネタへと続くわけですね。

*1:インシデントが発生したシステムの復旧は、ハードディスクの内容を証拠や調査用に複製した後、ゼロワイプしてから OS を再インストール、バックアップからデータのみをリストアという流れが最も確実かつ安全です

*2:実際にはわけもわからずひっかき回していることのほうが多い