Bezpečná obnova

Túto fázu je potrebné vykonávať tak, aby nemohlo dôjsť k prenosu infekcie na novo budovanú infraštruktúru. Obnova by mala prebiehať podľa týchto pravidiel

• v oddelených sieťových segmentoch, ktoré neobsahujú žiadne kompromitované elementy
• s použitím unikátnych, silných hesiel, ktoré sa nepoužívali v pôvodnej infraštruktúre
• obnova by mala obashovať plnú reinštaláciu čistého softvéru z dôveryhodných zdrojov
• aplikovanie všetkých bezpečnostných záplat a hardeningu
• kontrolu obnovovaných dát aj keď pochádzajú zo zálohy, ktorá je považovaná za bezpečnú (najmä používateľské účty a iné prístupové údaje)

Pri práci s pôvodne infikovanými zariadeniami a s obnovenými zálohami dodržte niekoľko zásad

• nepripájajte infikované zariadenia k sieti, a to ani dočasne.
• operačný systém považujte za trvalo kompromitovaný a nikdy sa ho nepokúšajte len “vyčistiť”. Všetko treba preinštalovať od nuly.
• ako stále nezašifrované dáta z potenciálne napadnutých zariadení, tak aj obnovené dáta zo záloh či dáta získané z obrazov diskov hlbšou technickou analýzou, treba považovať za potenciálne škodlivé a pristupovať k nim len podľa schválenej metodiky. Metodika môže napríklad
  • členiť súbory do kategórií
    • bezpečné (txt, csv, jpg, png, wav, docx, pptx, xlsx a ďalšie)
    • potenciálne nebezpečné (zip, rar, iso a ďalšie)
    • nebezpečné (doc, docm, ppt, pptm, xls, xlsm, exe, bat, dll, ps1 a ďalšie)
  • a pre každú kategóriu definovať pravidlá, za akých sa súbor môže alebo nesmie preniesť z pôvodnej infraštruktúry či zo zálohy do novo vybudovanej siete a postup ako sa pri prenose overí ich bezpečnosť a integrita.