Оценка ущерба и его масштаба
Анализ ущерба и масштаба инцидента может занять много времени, но непременно должен вести к пониманию природы инцидента и иметь целью расследование и нахождение виновника. Как только обнаружено проникновение, вся система и все ее компоненты оказывается под подозрением. Системное программное обеспечение является наиболее вероятной мишенью. Подготовленность является ключом для способности детектировать все изменения возможно поврежденной системы system. Это включает контрольное суммирование всех носителей, используя алгоритм, устойчивый для злоупотреблений (смотри разделы 4.3).
Предполагая, что данные о дистрибутивах доступны, должен проводиться анализ всех системных файлов, и любые нерегулярности должны регистрироваться и передаваться всем вовлеченным в инцидент. В некоторых случаях может быть очень трудно решить, какая из резервных сред демонстрирует корректное состояние системы. Предположим, например, что инцидент может продолжаться месяцы или годы, прежде чем все станет ясно, а подозреваемым может быть сотрудник узла. В любом случае, подготовка к инциденту определяет возможность преодоления последствий инцидента.
Если система поддерживает централизованное ведение журнальных файлов (как правило, это так), просмотрите записи и ищите любые необычные события. В меньшей мере, на инцидент может пролить свет использование диска. Аккаунтинг может предоставить много полезной информации при анализе инцидента и последующего поиска виновника.