Zamedzenie šírenia

7. februára 2024

Účelom tejto fázy je zabezpečiť, aby sa infekcia nešírila ďalej do siete. Preto je potrebné infikované zariadenia odizolovať od zvyšku počítačovej (nie elektrickej) siete.

V tejto fáze je nevyhnutné identifikovať a izolovať všetky potenciálne zasiahnuté zariadenia. Konkrétny postup závisí od aktuálnej situácie a predom pripravených plánov, ale vo všeobecnosti sa môže skladať z týchto aktivít:

odpojenie organizácie od Internetu
odpojenie zasiahnutých počítačov od lokálnej siete (drôtovej aj bezdrôtovej)
odpojenie virtuálnych serverov od siete, prípadne “zamrazenie” (snapshot) stavu virtuálnych serverov vrátane stavu pamäti
blokovanie spojení medzi sieťovými segmentami na firewalli
ak sa jedná o kancelárske priestory, jednou z možností je aj vypnutie wifi

Presný postup pri izolácii je nutné veľmi exaktne komunikovať všetkým, ktorí by ho mohli vykonávať. Účelom je predísť neželanej strate dôležitých stôp či informácií, o ktorých sa neskôr môže ukázať, že sú nevyhnutné pre úspešnú obnovu (napríklad šifrovacie kľúče, časová informácia o dobe behu operačného systému a podobne).

Je kritické, aby pracovníci počas izolácie

nevypínali zasiahnuté systémy
neprihlasovali sa do nich nad rámec už prihlásených relácií
neinštalovali žiadny nový softvér
nespúšťali ani nezatvárali aplikácie

Dátum prvého zverejnenia 07. 2. 2024. Posledná aktualizácia 07. 2. 2024 13:36