Wreszcie nadszedł moment, w którym możesz rzeczywiście zająć się incydentem. Co powinieneś zrobić? To zależy od okoliczności. Oto kilka możliwości: Jeśli napastnik nie zdołał wtargnąć do twojego systemu, jest szansa, że nie będziesz musiał robić zbyt wiele. Może uznasz, że nie warto reagować na niedbałe próby włamania. Może się także okazać, że twój incydent to w rzeczywistości coś całkiem niewinnego, a wówczas w ogóle nie będziesz musiał nic robić.

Jeśli atak był szczególnie zaciekły, możesz nasilić monitorowanie (przynajmniej tymczasowo). Prawdopodobnie powinieneś też poinformować innych, aby uważali na przyszłe próby.

Jeśli napastnik rzeczywiście zdołał włamać się do twoich komputerów, będziesz musiał przynajmniej uszczelnić lukę, z której skorzystał, oraz upewnić się, że niczego nie zniszczył i niczego po sobie nie zostawił.

W najgorszym wypadku będziesz musiał odbudować swój system od podstaw. Czasem jest to konieczne dlatego, że napastnik uszkodził jakieś pliki, celowo lub przypadkowo. Częściej jednak odbudowujesz system dlatego, że jest to jedyny sposób zagwarantowania bezpieczeństwa systemu i braku pułapek. Większość napastników zaczyna od upewnienia się, że będą mogli ponownie wejść do twojego systemu, nawet jeśli uszczelnisz pierwotną lukę. W rezultacie system może być zainfekowany nawet wtedy, gdy napastnik był w nim obecny tylko przez krótki czas.

Zawsze zakładaj, że napastnicy utworzyli „tylne drzwi” do twojego systemu, aby móc łatwo ponownie się do niego włamać. Jest to jedna z pierwszych rzeczy, którą robi wielu napastników zaraz po włamaniu się do systemu.