Обработка инцидентов
Необходимы определенные шаги, необходимые при работе над инцидентом. В любой активности, сопряженной с безопасностью, наиболее важным моментом является необходимость того, чтобы все узлы имели политику безопасности. Без определения политики и целей, предпринимаемые действия лишены координации. Цели должны быть определены менеджментом и юристом заранее.
Одним из главных целей является восстановление управления системами, подверженными атаке и ограничение размера ущерба. В худшем случае выключение системы или отключение системы от сети могут стать единственными практическими решениями.
Так как операция достаточно сложна, попытайтесь получить всю необходимую помощь. В то время как при попытке решить проблему в одиночку, размер ущерба может увеличиться из-за задержек или потери информации. Большинство администраторов воспринимают поиск атакера как личный вызов. Поступая таким образом можно упустить из внимания многие важные аспекты локальной политики безопасности. Попытка поимки хакера может оказаться задачей с очень низким приоритетом, по сравнению, например, с целостностью системы. Мониторирование хакерской активности полезно, но это не сопоставимо с риском, сопряженным с продолжением разрешения незаконного допуска.
