如果您是卷入安全事件的计算机的所有者或管理员,那么您的计算机上可能有证据,这对于了解发生了什么至关重要。
对于大学拥有的系统,我们必须保持系统在检测到危害进行法医分析时的状态(对于受到危害的个人系统也是如此)。
一台受损的电脑就像警察的犯罪现场。一旦发现了漏洞,重要的是要防止计算机的内容被修改,直到训练有素的安全专业人员对其进行调查。
当事件响应小组确定您的计算机已被入侵时,他们将要求您执行以下操作:
- 从系统或千斤顶上拆下网线(哪一个更容易),这样就不可能远程访问系统。这不仅可以防止进一步滥用,还可以防止入侵者删除证据(甚至是您自己的数据!)请勿拔下电源线或关闭系统。
- 在显示器和/或键盘上放置一个标志,表明系统不应使用或连接到网络。如果有人主动登录到计算机,您可能希望锁定屏幕,但不要将用户注销,除非事件响应小组指示这样做。
管理员和所有者通常会立即尝试保护他们的系统,或者帮助我们进行调查。虽然你对事件的理解和帮助是值得称赞的,但这些行为往往会产生意想不到的后果,阻碍调查。
请不要:
- 安装补丁、安装软件、更改配置或停止服务
- 杀死进程、重启或下电系统
- 删除或添加文件,或从备份磁带中恢复项目
- 允许使用该系统,即使是局部使用,直到可以安排检查为止
事件响应小组对您继续工作并尽快恢复正常的需求非常敏感。请与事件响应团队讨论您的业务需求,他们将尝试尽快为您恢复正常。
请注意,这是大学的政策,在超级用户root,管理员级别被破坏的系统必须在调查后完全重新安装