اقدامات اصلی که زمانی که یک متخصص فنی احساس می کند که حادثه ای رخ داده است و سازمان قابلیت پاسخگویی به حوادث را ندارد و همچنین زمان کافی را برای مطالعه ی استاندارد NIST800-61 نیست، میبایست انجام دهد.
همه چیز مستند شود: این کار شامل کلیه ی فعالیت هایی است که انجام شده، کلیه ی شواهد و هرگونه تعامل با کاربران، مالکان سیستم و دیگر افراد مرتبط با حادثه، است.
همکاری را پیدا کنید که بتواند به شما کمک کند: اگر دو یا چند نفر با هم کار کنند، رسیدگی به حادثه آسانتر خواهد بود. برای مثال یک نفر می تواند فعالیت هایی را انجام داده و دیگری آن فعالیت ها را مستند نماید.
جهت اطمینان از بروز حادثه، شواهد را تحلیل کنید: انجام تحقیق بیشتر برای درک بهتر شواهد مثل استفاده از موتور های جستجوی اینترنتی و مستندات نرم افزار ضروری است. برای کمک بیشتر، از دیگر متخصصی فنی در سازمان کمک بگیرید.
افراد مناسب در سازمان را مطلع کنید: این امر شامل مدیر ارشد اطلاعات (CIO)، سرپرست امنیت اطلاعات و مدیر امنیت محلی است. در باره ی در میان گذاشتن جزئیات حادثه با دیگران احتیاط کنید. به افرادی که لازم است تا بدانند، تنها چیزی را که نیاز است بگویید و از مکانیزم های ارتباطی امن برای این امر استفاده نمایید (اگر حمله گر به سرویس ایمیل نفوذ کرده است، در زمینه ی آن حادثه از طریق ایمیل اقدام نکنید).
سازمان های خارجی مورد نیاز مثل US-Cert را جهت کمک در رسیدگی به حادثه مطلع کنید.
اگر حادثه هنوز در جریان است آن را متوقف کنید. رایج ترین راه برای این کار قطع سیستم متاثر از حادثه از شبکه است. در بعضی حالات ممکن است نیاز باشد تا برای متوقف کردن ترافیک شبکه ای که بخشی از حمله است مثل حملات منع سرویس، پیکربندی روتر و یا فایروال تغییر کند.
شواهد حادثه را نگهداری کنید. از سیستم های متاثر از حمله بکاپ تهیه کنید (ترجیحا به جای بکاپ از فایل سیستم، از کل دیسک ایمیج خام بگیرید). از فایل های لاگ که حاوی شواهد مربوط به حادثه هستند، بکاپ تهیه کنید.
تمامی اثرات حادثه را از بین ببرید. این کار شامل آلودگی های ناشی از بدافزار، متریال نا مناسب (مثل نرم افزار های سرقت اطلاعات)، فایل های تروجان و هر گونه تغییر دیگری است که توسط حادثه در سیستم ایجاد شده است. اگر یک سیستم به طور کامل در اختیار نفوذگر باشد، از ابتدا آن را راه اندازی کرده و یا آن را به وضعیت یک بکاپ امن و خوب بازگردانید.
تمامی آسیب پذیری هایی که مورد بهره برداری قرار گرفته اند را تشخیص داده و اصلاح کنید. حادثه ممکن است از طریق بهره برداری از آسیب پذیری هایی در سیستم عامل و یا اپلیکیشن رخ داده باشد. حیاتی است که اینگونه آسیب پذیری ها تعیین و حذف شوند و یا به نحوی کنترل شوند که امکان استفاده ی مجدد از آن ها وجود نداشته باشد.
اطمینان حاصل کنید که فعالیت های سازمان به وضعیت نرمال بازگردانده شده است. اطمینان حاصل کنید که داده ها، اپلیکیشن ها و دیگر سرویس های متاثر از یک حادثه به وضعیت نرمال خود بازگشته اند.
گزارش نهایی را تهیه کنید. این گزارش باید جزئیات فرآیند رسیدگی به حادثه را مشخص سازد. همچنین باید خلاصه ی اجرایی (برای مدیران اجرایی که دید فنی ندارند) از حادثه ای که رخ داده و اینکه یک قابلیت رسیدگی به حادثه ی رسمی چگونه به رسیدگی به این وضعیت کمک خواهد کرد، ریسک را کاهش خواهد داد و خرابی را خیلی سریعتر کنترل خواهد کرد، وجود داشته باشد. (منبع NIST800-61)
همه چیز مستند شود: این کار شامل کلیه ی فعالیت هایی است که انجام شده، کلیه ی شواهد و هرگونه تعامل با کاربران، مالکان سیستم و دیگر افراد مرتبط با حادثه، است.
همکاری را پیدا کنید که بتواند به شما کمک کند: اگر دو یا چند نفر با هم کار کنند، رسیدگی به حادثه آسانتر خواهد بود. برای مثال یک نفر می تواند فعالیت هایی را انجام داده و دیگری آن فعالیت ها را مستند نماید.
جهت اطمینان از بروز حادثه، شواهد را تحلیل کنید: انجام تحقیق بیشتر برای درک بهتر شواهد مثل استفاده از موتور های جستجوی اینترنتی و مستندات نرم افزار ضروری است. برای کمک بیشتر، از دیگر متخصصی فنی در سازمان کمک بگیرید.
افراد مناسب در سازمان را مطلع کنید: این امر شامل مدیر ارشد اطلاعات (CIO)، سرپرست امنیت اطلاعات و مدیر امنیت محلی است. در باره ی در میان گذاشتن جزئیات حادثه با دیگران احتیاط کنید. به افرادی که لازم است تا بدانند، تنها چیزی را که نیاز است بگویید و از مکانیزم های ارتباطی امن برای این امر استفاده نمایید (اگر حمله گر به سرویس ایمیل نفوذ کرده است، در زمینه ی آن حادثه از طریق ایمیل اقدام نکنید).
سازمان های خارجی مورد نیاز مثل US-Cert را جهت کمک در رسیدگی به حادثه مطلع کنید.
اگر حادثه هنوز در جریان است آن را متوقف کنید. رایج ترین راه برای این کار قطع سیستم متاثر از حادثه از شبکه است. در بعضی حالات ممکن است نیاز باشد تا برای متوقف کردن ترافیک شبکه ای که بخشی از حمله است مثل حملات منع سرویس، پیکربندی روتر و یا فایروال تغییر کند.
شواهد حادثه را نگهداری کنید. از سیستم های متاثر از حمله بکاپ تهیه کنید (ترجیحا به جای بکاپ از فایل سیستم، از کل دیسک ایمیج خام بگیرید). از فایل های لاگ که حاوی شواهد مربوط به حادثه هستند، بکاپ تهیه کنید.
تمامی اثرات حادثه را از بین ببرید. این کار شامل آلودگی های ناشی از بدافزار، متریال نا مناسب (مثل نرم افزار های سرقت اطلاعات)، فایل های تروجان و هر گونه تغییر دیگری است که توسط حادثه در سیستم ایجاد شده است. اگر یک سیستم به طور کامل در اختیار نفوذگر باشد، از ابتدا آن را راه اندازی کرده و یا آن را به وضعیت یک بکاپ امن و خوب بازگردانید.
تمامی آسیب پذیری هایی که مورد بهره برداری قرار گرفته اند را تشخیص داده و اصلاح کنید. حادثه ممکن است از طریق بهره برداری از آسیب پذیری هایی در سیستم عامل و یا اپلیکیشن رخ داده باشد. حیاتی است که اینگونه آسیب پذیری ها تعیین و حذف شوند و یا به نحوی کنترل شوند که امکان استفاده ی مجدد از آن ها وجود نداشته باشد.
اطمینان حاصل کنید که فعالیت های سازمان به وضعیت نرمال بازگردانده شده است. اطمینان حاصل کنید که داده ها، اپلیکیشن ها و دیگر سرویس های متاثر از یک حادثه به وضعیت نرمال خود بازگشته اند.
گزارش نهایی را تهیه کنید. این گزارش باید جزئیات فرآیند رسیدگی به حادثه را مشخص سازد. همچنین باید خلاصه ی اجرایی (برای مدیران اجرایی که دید فنی ندارند) از حادثه ای که رخ داده و اینکه یک قابلیت رسیدگی به حادثه ی رسمی چگونه به رسیدگی به این وضعیت کمک خواهد کرد، ریسک را کاهش خواهد داد و خرابی را خیلی سریعتر کنترل خواهد کرد، وجود داشته باشد. (منبع NIST800-61)