[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:04548] Re: インシデントレスポンスはじめの一歩 第6回

おはようございます、Port139 伊原です。

On Mon, 24 Nov 2003 22:31:00 +0900
Toyoki Yokouchi <yokochan@xxxxxxxxxxxxx> wrote:

>準備ができていないサイト(サーバ)に対してのインシデント
>レスポンスをどうするかが、横内の関心事です。

これは難しいですよねぇ・・・。
通常?はお客さんにログオンすることによりウィルス発生等の
可能性がある危険性を説明し、許可を得られた場合には入りま
すけど、あまりやりたくないですね
# 過去にそれで失敗してることあるんで・・・(^^;;

>Windowsのスキャンディスクが走りそうな状態のハードディスク
>をdd(dcfldd)で複写したイメージは、R-Studioで読めるのでしょうか?

ぉを!スキャンディスク!。
それはちょっとやったことありませんが、chkdsk をかける環境
意外はあまり遭遇しないということもあるかもしれません。

ちなみに、Port139 の運用体制だと定期監査で Disk Image を
取得後にデフラグと chkdsk を行っています。
今のところ、取得 Disk Image の読み取り確認には EnCase を
使っていますが、定期的な chkdsk を実行できていればよほど
のことがないかぎり大丈夫そうです。

ただ、UNIX についてはど素人ですのでなんとも言えません(^^;;

>電源が入っている状態で、どれだけ調査できるかが分かれ目になると思う
>のです。

こればっかりは、設計段階でどこまで考えてあるか?だと思い
ますが“安全と情報は無料”なお国柄どうなんでしょ?
っていうか、自分への戒めとして言えばこれまでの設計におい
てはその観点が抜けていたのは事実ですから人のこと言えない
んですけど(__;;

Windows の場合、445/tcp 経由で dd.exe と nc を動かして、
少なくともその時点の Disk Image を取る方法が可能かもしれ
ませんが、UNIX とかだとどうなんでしょ?

>レスポンスの発生事例を例示して、「そのとき、どう判断する?」みたい
>なことで議論した方が分かりやすいような気がします。

ある意味、究極の選択ですね(笑)
#「そのとき、誰に責任を取らせるか?」みたいな・・・

-- 
『強いWindowsの基本』 やっとでました(^^;;
http://www.seshop.com/detail.asp?pid=4449

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/