Analýza útoku a plán obnovy
Teraz je čas pokúsiť sa zodpovedať základné otázky. Ak ste vykonali činnosti z kapitoly “pred incidentom”, nielenže vás týmto procesom sprevádzajú vaše metodiky, ale časť z týchto otázok by mala byť predom zodpovedaná (predovšetkým prioritizácia obnovy služieb).
Rozsah a dopad incidentu: Ktoré služby sú napadnuté a ktoré nie sú? O ktoré dáta sme prišli (šifrovanie, zmazanie)? Vieme identifikovať, ktoré dáta mohli byť odcudzené?
Cesta k obnove: Kde všade sa dáta môžu nachádzať? Zálohy lokálne, cloudové, offline. Pracovné kópie súborov na USB kľúčoch, pracovných staniciach, v e-mailoch.
Aký typ ransomvéru nás napadol? V otvorených zdrojoch vyhľadajte, či naň existuje dešifrovací nástroj.
Kto sú dôležití používatelia a kľúčové služby? Ktoré služby spustíme v náhradnom režime a ktoré v plnom? V akom poradí budeme obnovovať prevádzku? Aké sú vzájomné závislosti jednotlivých tímov, pracujúcich na obnove?
Na základe všetkých týchto vstupov je možné vytvoriť mapu krokov a ich nadväznosti, ktoré majú zaistiť že nedôjte k poškodeniu stôp alebo zálohy dát. Následne môže práca prebiehať v štyroch prúdoch:
- zaisťovanie stôp a forenzných artefaktov potrebných na riešenie incidentu, ako aj zálohovanie obrazov celých diskov za účelom pokusu o obnovu zmazaných údajov forenznými postupmi,
- hlbšia technická analýza – len na zozbieraných artefaktoch alebo na zariadeniach, na ktorých už skončil bod 1 (zaisťovanie stôp, zálohovanie obrazov diskov),
- bezpečná obnova infraštruktúry – len na úplne nových, zaručene neinfikovaných zariadeniach, alebo kontrolovanou, precízne riadenou reinštaláciou zariadení, na ktorých boli skončené body 1 (stopy, obrazy) a 2 (technická analýza),
- komunikačná a právna stránka incidentu.
Hoci tieto dve rady by mali byť zahrnuté už v metodikách, podľa ktorých teraz postupujete, nezaškodí ich zopakovať:
- neplaťte výkupné,
- každý krok dobre naplánujte a zdokumentujte.