Reguły reagowania na incydent
W książce Practical Unix & Internet Security Simson Garfinkel i Gene Spafford podają dwie doskonałe, podstawowe reguły reagowania na incydent. Pamiętaj o nich, czytając tę książkę, a także wtedy, gdy będziesz miał do czynienia z rzeczywistym incydentem:

Reguła 1: Nie panikuj Reguła 2: Dokumentuj! Oceń sytuację Zaraz po wystąpieniu incydentu zdecyduj, czy konieczna jest natychmiastowa reak cja. Zadaj sobie poniższe pytania:

Czy napastnik zdołał dostać się do twojego systemu? Jeśli tak, masz do czynienia z sytuacją kryzysową, bez względu na to, czy napastnik jest obecnie aktywny. Czy atak jest w toku? Jeśli tak, musisz natychmiast zdecydować, jak na niego zareagujesz. Jeśli obecnie nikt cię nie atakuje, nie musisz się tak spieszyć.

Jeśli incydent wygląda jak agresywny atak na twój system, prawdopodobnie będziesz musiał szybko zastosować odpowiednie środki zaradcze. Może to polegać na zamknięciu systemu lub połączenia z Internetem, dopóki nie ustalisz, jak uporać się z tą sytuacją.

Jeśli jednak incydent nie wygląda bardzo groźnie może ktoś nawiązał połączenie Telnetu z twoim komputerem i wypróbowuje różne kombinacje nazw użytkowników i hasełmasz więcej czasu na decyzję. Jeśli jesteś przekonany, że atak się nie powiedzie (na przykład widzisz, że napastnik wypróbowuje hasła składające się tylko z małych liter, a wiesz na pewno, że żadne konto w systemie nie ma takiego hasła), możesz pozostawić sprawy własnemu biegowi i przyglądać się przez jakiś czas poczynaniom napastnika. Da ci to szansę prześledzenia ataku (omówienie kwestii związanych ze śledzeniem ataków znajdziesz w dalszym podrozdziale „Ściganie i chwytanie napastników”). Cokolwiek zrobisz, pamiętaj o regule numer 1: nie panikuj!