Hlbšia technická analýza
Táto fáza riešenia incidentu má viacero cieľov:
- určiť spôsob prieniku a všetky kroky útočníka v sieti, vrátane identifikácie spôsobov, ktorými si útočník mohol vytvoriť do siete zadné vrátka, a vytvoriť časovú os útoku,
- zistiť, či je možné dešifrovať súbory
- obnoviť stratené dáta z obrazov pamäti a disku
- zistiť, aké dáta mohli uniknúť a navrhnúť opatrenia, minimalizujúce škody z ich zneužitia
- zmena hesiel, ak sa používali aj inde ako na zasiahnutých (a teraz už neprístupných) systémoch
- identifikácia uniknutých údajov (čísla preukazov, platobných kariet)
- zabezpečenie aktív, ku ktorým by mohol útočník na základe úniku získať prístup (bankové účty, kryptopeňaženky, online identity, e-shopy, B2B portály, iné služby)
- vytvoriť indikátory (IOC) ktoré je možné použiť na ďalšie hľadanie útočníka a jeho aktivít, alebo na zdieľanie s partnermi,
- identifikovať techniky, taktiky a procedúry (TTP) útočníka, najlepšie mapované na MITRE ATT&CK maticu,