Plan tworzenia kopii

Twój plan reakcji na incydent powinien określać, jak należy sporządzić kopię zaatakowanych systemów. Upewnij się, że znajdą się w nim odpowiedzi na następujące pytania:

Gdzie znajdują się potrzebne nośniki i jakiego programu należy użyć? Jak należy oznaczyć kopię i gdzie ją przechowywać? Jak można zabezpieczyć kopię przed ingerencją z zewnątrz, aby można było jej użyć później w postępowaniu sądowym?

Plan odtwarzania danych i przywracania usług Różne incydenty będą wymagały różnych czynności naprawczych. Twój plan reakcji powinien zawierać ogólne wytyczne. Przeinstalowywanie systemu operacyjnego od podstaw jest czasochłonne, nieprzyjemne i często ujawnia niezauważone wcześniej problemy. Może się na przykład okazać, że nie wiesz już, skąd pochodziły niektóre programy. Z tej przyczyny ludzie robią to bardzo niechętnie. Jeśli twój plan reakcji na incydent nie stwierdza wyraźnie, że należy przeinstalować system operacyjny, nikt tego nie zrobi. Problem pole

ga na tym, że prowadzi to do sytuacji, w której musisz ciągle pozbywać się tego samego napastnika, ponieważ system nie został porządnie wyczyszczony. Twój plan powinien określać, jak można dowieść, że nikt nie majstrował przy systemie operacyjnym (na przykład przez porównanie kryptograficznych sum kontrolnych z systemem, który z pewnością nie padł ofiarą ataku). Jeśli nie masz odpowiednich narzędzi, o których była mowa w rozdziale 1, „Hosty bastionowe”, albo testy dadzą wynik negatywny, będziesz musiał zainstalować czysty system operacyjny, a plan powinien to stwierdzać.