KatSSS написал(а):(вообще-то в первом варианте было "криминалист", но мну подумал, что какой-то там заштатный криминалист в высоком кабинете... это разве что гденить в предбаннике, на краешке дивана, в ожидании пока позовут...
А.... почему?
Т.е. как я это сейчас понимаю. Есть большое отвтественное лицо (безопасник). У него есть 3-5-10 замов по числу направлений работы. Это ведущий криминалист, патанатом, ведущий компьютерщик, несколько хозяев агентурной сети, замполит и кто-то по коммунальному хозяйству. Ответственное лицо - менеджер, его задача - направлять деятельность подопечных. А вот его подчиненные в первую очередь - эксперты, т.е. криминалист, патанатом, компьютерщик и тэ пэ. Причем основная задача экспертов - это полно и непредвзято описать то, что они видят, и прокомментировать предположения начальства, если они будут. При этом эксперт - безусловно, подчиненный, но его выслушают лично именно потому, что он - эксперт, т.е. только он может дать полный и развернутый комментарий и ответить на заданые вопросы.
KatSSS написал(а):Вы уверены, что вот такое подробное надо? Вместо простого "месиво и всё подряд"?
Я уверен, что в заключении или даже записке судмедэксперта не может быть "месиво и все подряд". И даже в отчете полицейского не может. В пересказе постороннего человека - да, может. А патанатом/следак и не такое видел и будет давать сутеотражающее описание даже если оно будет звучать как "потерпевший был нарезан фигурными пластинками".
KatSSS написал(а):А кто их будет в кучу сгребать? Ну, на кого повесят всех этих "независимых сисадминов"? Или вы думаете, что их по одному вызывать будут?
Нинакого. Не будут их сгребать.
Имхо, с независимых сисадминов сдернут логи сетевой активности, их заключения и техописание на их хозяйство, эти данные соберут в одном месте, после чего группа из 3-5-10 специалистов загрузит эти логи в спецбазу и будет анализировать. В процессе загрузки будут привлекать этих независимых сисадминов и кого-то из разработчиков использованного сисадминами софта для лучшего понимания особенностей функционирования их систем. После чего составит заключение в стиле того, что я дал для судмедэксперта, с поправкой на то, что у компьютерщиков будет точный хронометраж всего зафиксированного. Что именно будет зафиксировано - зависит от паранойи конкретных сисадминов. При умеренной паранойе и умеренной имбанутости Конго будет точная хронология взятия под контроль серверов, объем прокачаных в обе стороны данных, к каким именно данным было обращение. Результаты соберут в относительно понятный, но нудный и толстый отчет и положат на стол начальству.
Не забывайте, Конго, конечно, имба, но сетевые атаки для любого сетевого ресурса - абсолютно штатная ситуация, которую ресурс должен уметь определять и отрабатывать. Поэтому сисадмины умеют это все детектировать и даже объяснять в понятных высокому начальству словах. Другое дело, что информации там нереально много, и полное восстановление картины может занять месяцы.
Отредактировано permeakra (09-03-2018 22:15:09)
