Противодействие
Целью противодействия является ограничение масштабов развития атаки. Существенной частью противодействия является принятие решения (например, определение, следует ли выключить систему, отключить ее от сети, мониторировать систему или сетевую активность, установить ловушки, закрыть функции, такие как удаленная передача файлов и т.д.).
Иногда это решение тривиально - выключить систему, если информация категорирована, чувствительна или является частной. Учтите, что аннулирование всякого доступа при инциденте обращает на себя внимание всех пользователей, включая подозреваемых, что может иметь вредное воздействие на расследование. В некоторых случаях, разумно ликвидировать все виды доступа или функциональность так быстро, как только возможно, а затем поэтапно восстановить нормальную работу. В других случаях, имеет смысл рискнуть, если сохранение системы в рабочем состоянии поможет идентифицировать виновника инцидента.
Этот этап должен включать в себя выполнение определенных заранее процедур. Ваша организация или узел должны, например, определить приемлемые риски в ходе преодоления последствий инцидента, и предложить соответствующие действия и стратегии. Это особенно важно, когда необходимо быстрое решение и невозможно при первом контакте заинтересованных сторон обсудить возможное решение. В отсутствии определенных заранее процедур лицо, ответственное за ликвидацию последствий инцидента, не имеет полномочий принимать сложные управленческие решения (вроде потери результатов сложного эксперимента при отключении системы). Данный этап завершается оповещением всех заинтересованных полномочных представителей.
