インシデントレスポンスのことを改めて考えていたりするんだけど、攻撃されているとか、怪しい活動があるとかいうことを把握した直後にどうするか、という対応の初動ってのはやはり難しいところがありますねえ。証拠保全、というところで。
昨年から今年くらいまでは、理想的にはネットワークセッションを選り分けてその時点で確立されているものだけ確保しておき、新たな通信は寄せ付けないし発信させない、という状態である、と言ってきました。しかし、それは実現がけっこう難しかったりするわけです。そういう状態を具体的にパケットフィルタリングでどのように作り出すか、ということから、踏み台リスクを完全に断てていない微妙な状態をいかにして保持するか、ということまで、ハンドリングが難しい部分が多いし。
となると必要なのは次善の策、ってことになるわけですが、ここでまた例によってネットワークケーブルを抜く、ということにはならず、むしろ電源ケーブルを抜く、電源をいきなり落とす、という方を勧めたいところですねえ。ハードディスクが故障したりする危険性はありますが、最近のヤツは多少の乱暴な扱いでもそうそうは壊れないし。
それもちょっとできないなあ、という場合には*1、やはりネットワークケーブルを引っこ抜く、しか無いのだろうかなあ。そんなことしてシステムのさまざまなステイタスを変えてしまうより、少なくともハードディスクの中身（スワップなども含めて）のスナップショットは取れる電源対応の方が良さそうだけど。
というか、某所で話を聞いて、あいかわらずネットワークケーブルを抜く、という対処が第一優先と思われていてちょっと意外でもあったです。