Edge recovery evidence timeline
Уверенность в recovery создают timeline, clean baseline и наблюдение после rebuild, а не один успешный reboot.
Главный урок: Patch management удаляет уязвимый код. Incident recovery восстанавливает доверие. Это связанные, но разные инженерные задачи.

Проблема

Cisco в обновлении по ASA и FTD описывает связанный с ArcaneDoor persistence-механизм, который способен сохраниться после обновления до ранее опубликованных fixed releases. Операционный вывод шире одного vendor: компрометация edge может пережить обычную процедуру обслуживания.

Edge-устройства особенно сложны: они завершают remote access, хранят routing/VPN trust и часто дают меньше forensic telemetry, чем обычные серверы.

Модель восстановления

  • Contain: ограничить management и remote-access paths, сохранив business continuity через утверждённый fallback.
  • Preserve: собрать рекомендованные vendor artefacts, running config, version state, administrative logs и topology context.
  • Re-establish trust: следовать актуальному vendor recovery path, выполнить rebuild при необходимости и ротировать credentials, certificates и tokens, доступные устройству.
  • Verify: сравнить восстановленное состояние с approved baseline и подтвердить только ожидаемые services и management paths.
  • Watch: установить monitoring window для аномальной аутентификации, изменений конфигурации и control-plane behavior.

Безопасный пример evidence manifest

Локальный скрипт создаёт хэши уже собранных incident artefacts. Он не подключается к appliance и не изменяет evidence.

from hashlib import sha256
from pathlib import Path
import json

root = Path("edge-incident-evidence")
manifest = []

for path in sorted(item for item in root.rglob("*") if item.is_file()):
    data = path.read_bytes()
    manifest.append({
        "path": str(path.relative_to(root)),
        "size": len(data),
        "sha256": sha256(data).hexdigest(),
    })

Path("edge-evidence-manifest.json").write_text(
    json.dumps(manifest, indent=2),
    encoding="utf-8",
)

Что должен содержать итоговый отчёт

  • Confidence statement с разделением confirmed compromise, suspicious observations и untested gaps.
  • Evidence manifest, ограничения сбора и явный chain of custody.
  • Trust-rotation matrix для credentials, sessions, certificates и зависимых систем.
  • Recovery и retest criteria, привязанные к актуальному vendor guidance, а не старому внутреннему чеклисту.
Этическая рамка: Материал не описывает установку persistence. Фокус — preservation, recovery, trust rotation и defensive verification.