Analýza útoku a plán obnovy

Teraz je čas pokúsiť sa zodpovedať základné otázky. Ak ste vykonali činnosti z kapitoly “pred incidentom”, nielenže vás týmto procesom sprevádzajú vaše metodiky, ale časť z týchto otázok by mala byť predom zodpovedaná (predovšetkým prioritizácia obnovy služieb).

Rozsah a dopad incidentu: Ktoré služby sú napadnuté a ktoré nie sú? O ktoré dáta sme prišli (šifrovanie, zmazanie)? Vieme identifikovať, ktoré dáta mohli byť odcudzené?

Cesta k obnove: Kde všade sa dáta môžu nachádzať? Zálohy lokálne, cloudové, offline. Pracovné kópie súborov na USB kľúčoch, pracovných staniciach, v e-mailoch.

Aký typ ransomvéru nás napadol? V otvorených zdrojoch vyhľadajte, či naň existuje dešifrovací nástroj.

Kto sú dôležití používatelia a kľúčové služby? Ktoré služby spustíme v náhradnom režime a ktoré v plnom? V akom poradí budeme obnovovať prevádzku? Aké sú vzájomné závislosti jednotlivých tímov, pracujúcich na obnove?

Na základe všetkých týchto vstupov je možné vytvoriť mapu krokov a ich nadväznosti, ktoré majú zaistiť že nedôjte k poškodeniu stôp alebo zálohy dát. Následne môže práca prebiehať v štyroch prúdoch:

1. zaisťovanie stôp a forenzných artefaktov potrebných na riešenie incidentu, ako aj zálohovanie obrazov celých diskov za účelom pokusu o obnovu zmazaných údajov forenznými postupmi,
2. hlbšia technická analýza – len na zozbieraných artefaktoch alebo na zariadeniach, na ktorých už skončil bod 1 (zaisťovanie stôp, zálohovanie obrazov diskov),
3. bezpečná obnova infraštruktúry – len na úplne nových, zaručene neinfikovaných zariadeniach, alebo kontrolovanou, precízne riadenou reinštaláciou zariadení, na ktorých boli skončené body 1 (stopy, obrazy) a 2 (technická analýza),
4. komunikačná a právna stránka incidentu.

Hoci tieto dve rady by mali byť zahrnuté už v metodikách, podľa ktorých teraz postupujete, nezaškodí ich zopakovať:

• neplaťte výkupné,
• každý krok dobre naplánujte a zdokumentujte.