На прошлой неделе компания Cisco выпустила четыре руководства для исследователей безопасности, призванные помочь в расследовании инцидентов, связанных с оборудованием Cisco. В руководствах прописаны пошаговые инструкции по извлечению информации, необходимой для криминалистической экспертизы, без нарушения целостности данных.
Каждое руководство предназначено для одной из четырех основных платформ Cisco:
Все руководства содержат примерно одну и ту же информацию: процедуры сбора данных о конфигурации платформы и времени выполнения, проверку хешей образов системы на несоответствие, проверку характеристик подписи системы FTD и запущенных образов, получение и проверку текстового сегмента памяти, создание и получение информации о сбоях и файлов ядра, а также проверку настроек ROM Monitor для удаленной загрузки образа системы.
Единственной крупной платформой от Cisco, для которой компания не выпустила руководство по реагированию на инциденты безопасности, является ПО для маршрутизаторов операторского класса Cisco IOS XR. Руководства для остальных основных платформ опубликованы на портале Tactical Resources .