Bezpečná obnova
Túto fázu je potrebné vykonávať tak, aby nemohlo dôjsť k prenosu infekcie na novo budovanú infraštruktúru. Obnova by mala prebiehať podľa týchto pravidiel
- v oddelených sieťových segmentoch, ktoré neobsahujú žiadne kompromitované elementy
- s použitím unikátnych, silných hesiel, ktoré sa nepoužívali v pôvodnej infraštruktúre
- obnova by mala obashovať plnú reinštaláciu čistého softvéru z dôveryhodných zdrojov
- aplikovanie všetkých bezpečnostných záplat a hardeningu
- kontrolu obnovovaných dát aj keď pochádzajú zo zálohy, ktorá je považovaná za bezpečnú (najmä používateľské účty a iné prístupové údaje)
Pri práci s pôvodne infikovanými zariadeniami a s obnovenými zálohami dodržte niekoľko zásad
- nepripájajte infikované zariadenia k sieti, a to ani dočasne.
- operačný systém považujte za trvalo kompromitovaný a nikdy sa ho nepokúšajte len “vyčistiť”. Všetko treba preinštalovať od nuly.
- ako stále nezašifrované dáta z potenciálne napadnutých zariadení, tak aj obnovené dáta zo záloh či dáta získané z obrazov diskov hlbšou technickou analýzou, treba považovať za potenciálne škodlivé a pristupovať k nim len podľa schválenej metodiky. Metodika môže napríklad
- členiť súbory do kategórií
- bezpečné (txt, csv, jpg, png, wav, docx, pptx, xlsx a ďalšie)
- potenciálne nebezpečné (zip, rar, iso a ďalšie)
- nebezpečné (doc, docm, ppt, pptm, xls, xlsm, exe, bat, dll, ps1 a ďalšie)
- a pre každú kategóriu definovať pravidlá, za akých sa súbor môže alebo nesmie preniesť z pôvodnej infraštruktúry či zo zálohy do novo vybudovanej siete a postup ako sa pri prenose overí ich bezpečnosť a integrita.
- členiť súbory do kategórií