Vykonanie neopakovateľných úkonov, zaistenie stôp
Predtým, než sa pustíte do obnovy, a hneď po tom, ako bolo zabezpečené, že útok sa sieťou ďalej nešíri, treba zaistiť tie stopy, ktoré by mohli byť ďalšou aktivitou poškodené.
Zaistenie stôp treba urobiť tak,
- aby mohli byť použité v prípadnom trestnom konaní,
- aby bolo možné dôkladne vyšetriť incident a zistiť prvotný vektor a priebeh útoku,
- aby sa aj po obnove prevádzky bolo možné vrátiť k pôvodným dátam
V tejto fáze pomôže súdny znalec alebo odborník z CSIRT jednotky. Hoci nie je žiadúce, aby túto činnosť vykonával ktokoľvek bez hlbokých technických znalostí v danej oblasti, naznačíme aspoň niektoré z možností a aktivít:
- zadokumentovanie okamžitého stavu v čase incidentu, vrátane exaktnej verzie operačného systému, rozdielu systémového času oproti skutočnému a doby behu napadnutých počítačov
- uloženie obrazu (snapshot) celého virtuálneho servera – pamäť RAM aj diskové obrazy
- získanie obrazu RAM na externé médium
- získanie obrazu diskov na externé médium
- vytvorenie snapshotov na dátovom úložisku
- uchovanie informácií ako “ransomnote” – odkaz od útočníkov s kontaktnými a platobnými informáciami na útočníkov