但根据CSIRT的工作职责,保留网络犯罪的现场证据也是必须要完成的工作使命,这就好比在刑事案件的现场一样,黄色警戒线代表着“案发现场,请勿破坏!”。由于CSIRT的工作双重性质,也就造成了系统恢复时间上的冲突。
解决“零”时间恢复与证据收集的矛盾的问题,就是实现备份与恢复可否同时进行的问题。很多人甚幻想将这一系列的工作放在一台主机上,我们不建议这样做。因为很多的计算机犯罪证据需要控诉方提供真实的物理介质,所以将备份迅速恢复到另一台主机上是十分重要的,也是必须的。
例如:数据发生任何变化时,持续数据保护(Continuous Data Protection,CDP)系统软件就会马上创建备份,在数据损耗的情况下,其允许快速的数据恢复,并实现把数据还原到生命周期任一指定点。但还有一点需要我们清醒面对,即,如何收集易失性数据?
这些容易丢失的数据主要是系统的当前状态,如已经建立连接的端口、用户连接状态、服务进程等,这些只要系统重启就可能改变的信息。也许很多人相信应急响应小组能够办到,可他们的答案往往是统一的:“网管系统软件不但能为你在日常解忧,而且在安全事件中就会将成为小组最可依赖的对象”。
应急响应要超越“亡羊补牢”模式
CSIRT与CERT
CSIRT(Computer Security Incident Response Team)或CERT(Computer Emergency Response Team)是计算机网络安全应急小组的英文简称,是专门从事计算机系统及网络安全技术研究,并接收、检查、处理相关安全事件的服务性组织的通称。例如:中国国家计算机网络应急技术处理协调中心(National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT)。(X229)
<<上一页
1
2
