Реагирование на инциденты в системах интернет-банкинга — инструкция от Group-IB

[imater]

Трудно читать, верхнее и нижнее поле рябит. А так странно, что такая ценная брошюра выползла на свет. Обычно банки неохотно делятся подобным.

[13oz]

Group-IB — это не банк. И писали не для кого-то, как я понял, а именно для всех — что бы повысить осведомленность заказчиков, и тем самым облегчить себе работу.

[SidexQX]

Спасибо! Хороший буклет, и самому интересно было… И для бухгалтерии можно выдержку сделать.

[timukas]

При снятии имиджа важно что бы диск, на который будет копироваться имидж, был правильно завайпен. А то может получится, что информация не имеющая никакого отношения к инциденту будет включена в инцидент.

[msuhanov]

Если в файл копируется, то не надо.

[timukas]

Согласен.
Максим, у меня к вам вопрос как к специалисту. Мы сейчас делаем анализ дисков/файлов на САТА винтах (7200rpm). Будет ли прирост значимым, если для этих целей будем использовать SSD?
И ещё один. Как вы поступаете если диск с которого снимаете имидж размером 2-3 TB (90% занято всевозможными данными)?

[msuhanov]

1. Не думаю, что будет радикальный прирост скорости исследования :)
2. Никак, просто нужно иметь чуть больше терпения и не забывать выключать сжатие при создании образов. А если возникает проблема в емкости диска, куда данные копируются, то в dd (и форках) есть опции «skip=» и «count=».

[wolfus]

Поразил мажоров переулок в самом конце :)