Итак, в наши дни, когда говорят о том, что взломанные машины используются для распространения вредоносных программ и управления ботнетами, мне не совсем ясно, что делают правоохранительные органы после того, как они определили сервер как источник или контроллер атаки / APT и этот сервер является VPS в моем кластере / центре обработки данных?
Они забирают всю машину?
Этот вариант, похоже, связан с большим сопутствующим ущербом, поэтому я не уверен, что происходит и как системные администраторы лучше всего помогают правоохранительным органам в их работе, сохраняя при этом наши рабочие места!
(Заявление об ограничении ответственности - я участвую в компьютерной криминалистике и управлении компьютерной безопасностью. Местные законы и протоколы LEO могут отличаться)
Насколько мне известно, я не видел протоколов, специально относящихся к VPS. Здесь есть на что посмотреть. Правоохранительные органы не чурались захват серверов в совместном владении в прошлом или даже несвязанные серверы "на всякий случай" и вообще, откровенно говоря, побочный ущерб не проблема для них. Если в машине были улики, очень вероятно, что они все это конфискуют. Таким образом, первая линия защиты - не находиться в ситуации, когда это вообще может произойти.
С практической точки зрения, опытный эксперт-криминалист может пожелать провести судебную экспертизу в реальном времени, чтобы изучить поведение подозрительного сервера «на месте». Они также могут найти резервные копии, полезные для определения того, когда возникла проблема. Разумеется, если вы имеете дело с одним из них. Тем не менее, должным образом подготовленные специалисты-криминалисты встречаются реже, чем можно было бы надеяться - в моем классе не без причины, и во многих местах судебно-медицинские эксперты - это полицейские, которые изучили судебную экспертизу, а не нанятые сисадмины или кибер-криминалисты. работать на правоохранительные органы. Разобраться со вторым может быть проще, чем с первым. Еще лучше. Пусть этим займется юридический отдел, и делайте то, что вы необходимость к.
Внутри компании это то, что вам нужно учитывать при планировании IR / DR - с момента захвата сервера является катастрофа. Есть ли у вас правила в отношении той информации, которую вы можете предоставить правоохранительным органам? Можете ли вы сотрудничать с ними в документировании передачи оборудования (что облегчает вам жизнь - они начинают цепочку поставок, и вы будете в лучших отношениях с ними). Также хорошо, если бы у вас не было случайная кучка не сисадминов, которые возятся с вашей проводкой.
Теоретически, если простой был проблемой, можно было бы получить сервер из резервного пула и восстановить его содержимое из последней резервной копии. Это просто еще одна проблема - пока у вас есть хорошая полная документация и резервные копии, у вас должно быть все необходимое под рукой.
Несколько полезных указаний на то, на что будет обращать внимание полиция, можно найти в таких местах, как SANS и ACPO. Также поговорите с юридическим отделом вашей компании о возможных местных требованиях.