Компания Cisco опубликовала руководства для своих четырех основных платформ – ASA, IOS, IOS XE и FTD, задача которых реагировать на инциденты. Таким образом, специалистам будет легче расследовать взлом производимого Cisco оборудования.
В руководствах прописаны пошаговые инструкции по извлечению информации, необходимой для криминалистической экспертизы, без нарушения целостности данных.
Каждое руководство предназначено для одной из четырех основных платформ Cisco:
- Cisco ASA (Adaptive Security Appliance) — программное обеспечение, запущенное на устройствах и включающее межсетевой экран, антивирус, функции предотвращения вторжения и VPN;
- Cisco IOS (Internetwork Operating System) — проприетарная ОС, на которой работает большинство коммутаторов и роутеров Cisco;
- Cisco IOS XE — основанная Linux операционная система, запущенная на коммутаторах и роутерах Cisco;
- Cisco FTD (Firepower Threat Defense) — софт, сочетающий в себе технологии Cisco ASA и Развертывается на аппаратном межсетевом экране Cisco.
Все руководства содержат примерно одну и ту же информацию: процедуры сбора данных о конфигурации платформы и времени выполнения, проверку хешей образов системы на несоответствие, проверку характеристик подписи системы FTD и запущенных образов, получение и проверку текстового сегмента памяти, создание и получение информации о сбоях и файлов ядра, а также проверку настроек ROM Monitor для удаленной загрузки образа системы.
Единственная крупная линейка программного обеспечения, для которой компания не опубликовала руководство по извлечению и анализу данных, — Cisco IOS XR. Руководства для остальных основных платформ опубликованы на портале Tactical Resources.
