На прошлой неделе компания Cisco выпустила четыре руководства для исследователей безопасности, призванные помочь в расследовании инцидентов, связанных с оборудованием Cisco. В руководствах прописаны пошаговые инструкции по извлечению информации, необходимой для криминалистической экспертизы, без нарушения целостности данных.

Каждое руководство предназначено для одной из четырех основных платформ Cisco:

Cisco ASA (Adaptive Security Appliance) – ПО для устройств безопасности, включающее в себя межсетевой экран, антивирус, решение для предотвращения вторжения и VPN;

Cisco IOS (Internetwork Operating System) – проприетарная ОС, на базе которой работает большинство коммутаторов и маршрутизаторов Cisco;

Cisco IOS XE – операционная система на базе ядра Linux для коммутаторов и маршрутизаторов Cisco;

Cisco FTD (Firepower Threat Defense) – ПО, включающее в себя Cisco ASA и технологию Firepower. Развертывается на аппаратном межсетевом экране Cisco.

Все руководства содержат примерно одну и ту же информацию: процедуры сбора данных о конфигурации платформы и времени выполнения, проверку хешей образов системы на несоответствие, проверку характеристик подписи системы FTD и запущенных образов, получение и проверку текстового сегмента памяти, создание и получение информации о сбоях и файлов ядра, а также проверку настроек ROM Monitor для удаленной загрузки образа системы.

Единственной крупной платформой от Cisco, для которой компания не выпустила руководство по реагированию на инциденты безопасности, является ПО для маршрутизаторов операторского класса Cisco IOS XR. Руководства для остальных основных платформ опубликованы на портале Tactical Resources .