![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Publicerad
Checklista
Här är en checklista med ordningsföljd över de olika stegen i delprocessen.
Frågebatteri
-
Är systemet isolerat från andra interna system?
-
Vad vill den drabbade organisationen göra åt incidenten?
-
Polisanmäla/åtala angripare?
-
Avbryta/stoppa angreppet så snabbt som möjligt?
-
Återställa systemet så snabbt som möjligt?
-
Låta systemet vara intakt, ta upp ett nytt system parallellt?
-
-
Kan/får systemet stängas ner?
-
Vilka mandat har intressenten/kontaktpersonen?
-
Är systemet outsourcat?
-
Vad har organisationen att förlora/vinna om man tar till motgrepp?
-
Finns det lokala loggar, nätverksloggar, brandväggsloggar, IDS-loggar?
-
Har organisationen kört någon sårbarhetsscanner för att upptäcka sårbarheter?
-
Har organisationen gjort egna analyser, i så fall vilka?
-
Vilka patchar är installerade på systemet?
-
Har organisationen redan skapat spegelkopior på HD?
-
Är systemet bortkopplat från Internet/nätverk?
-
Vad är viktigast för organisationen, få upp systemet så fort som möjligt, eller söka upp och åtala förövaren?
Isolera systemet
Starta en sniffer för att spela in trafik mot det angripna systemet
- Detta kan redan vara gjort i den tidigare delprocessen identifiera.
Göra en spegelkopia av HD
Skapa MD5- samt SHA1-checksummor på spegelkopia
Datainsamling
Enligt ”Order of volatility”
-
Nätverksprocesser
-
Systemprocesser och minne
-
Öppna samt ovanliga filer
-
Loggfiler
-
Konton och användare
-
Övriga ovanligheter
-
Tidlinje (MAC-times)
Analys av insamlat data
-
Analys av flyktigt data
-
Analys av data från HD
-
Analys av binären
- Insamling och analys av data som kan knytas till förövaren