第七章 DFIR中的等待挑战被动

这句话我已经听过很多次了(是的，我承认，我有点着迷)，但最近它给我的印象有点不同。在这个例子中，我正在监视一个间谍组织在执行他们的攻击时使用的资源。问题出现了:我们是否通知了所有者并有效地烧毁了资源，使得攻击者无法使用它，同时丢失了遥测数据?我们是否继续监控它并获取情报，但仍冒着被用来对付受害者的风险?

这是一个艰难的选择，我们设定了一系列条件来确定它是否仍在获取情报。最后，我用艾伦·伯尔在《汉密尔顿》中所使用的术语构建了这种成本与收益分析:在我们的调查中，发生了什么?我们仅仅是站着不动(被动)还是躺着等待(主动避免采取行动，以促进以后更果断的行动)?

有时人们会说，调查总是需要调整和移动，但有时对调查来说最好的事情是花时间去看看发生了什么，然后计划下一步。这不应该被误认为是被动。但是什么时候你能坚持，什么时候你能前进?

不幸的是，在这个问题上我真的帮不了你。这需要经验和直觉的结合。虽然我不能给你一个确切的答案，但这里有一些关键的问题要问问你自己:

•你获得有意义的情报吗?

•获取更多信息是否符合受害者和团队的最大利益?

•你是否能够利用你所收集的信息，以有效和及时的方式采取行动?

如果你对这些问题的回答是肯定的，那么最好的做法就是继续收集，直到你获得尽可能多的价值。关键是要定期回顾这些问题，直到有变化为止。在这一点上，你必须准备好行动，无论是补救你的网络，通知受害者，或与他人分享你收集的情报。

关于平衡收集和行动的问题，最后要考虑的是随之而来的压力。这可能来自于许多方面——团队内部、老板、受影响的用户、执法部门等等。这个论点直截了当，令人信服:解决问题，然后转向其他事情。

最后，你不仅要自己做决定，还要向利益相关者，尤其是上级陈述你的观点。你必须做好反击别人的准备，只要你能收集到有意义的信息并发展情报。如果你不能买，那么最好的选择是尽快传递信息。汉密尔顿自己可能说了在这种情况下保持强大的最好的事情…