Questo tipo di analisi consente di poter ricostruire quale fosse lo scenario ( processi attivi, moduli caricati in memoria, socket e connessioni di rete, ecc... )
presente sulla macchina oggetto di analisi nel momento in cui l’incidente si è verificato al fine di meglio comprenderne gli esiti prodotti all'interno del sistema.
Un tale tipo di analisi è possibile solamente nel caso in cui la macchina sotto indagine sia rimasta in funzione durante ed in seguito al manifestarsi dell’evento sospetto
ed è particolarmente raccomandato nei contesti di tipo mission-critical in cui l'operatività deve essere garantita con livelli di continuità 24/7.
Infine, è opportuno sottolineare come un corretto approccio all' Incident Response di tipo live debba necessariamente garantire il minimo impatto possibile
in termini di inquinamento della prova al fine di non precludere eventuali e successive azioni legali o giudiziarie nei confronti dei responsabili dell'illecito ove
questo sia riscontrato nel corso dell'indagine.
|