Zamedzenie šírenia
Účelom tejto fázy je zabezpečiť, aby sa infekcia nešírila ďalej do siete. Preto je potrebné infikované zariadenia odizolovať od zvyšku počítačovej (nie elektrickej) siete.
V tejto fáze je nevyhnutné identifikovať a izolovať všetky potenciálne zasiahnuté zariadenia. Konkrétny postup závisí od aktuálnej situácie a predom pripravených plánov, ale vo všeobecnosti sa môže skladať z týchto aktivít:
- odpojenie organizácie od Internetu
- odpojenie zasiahnutých počítačov od lokálnej siete (drôtovej aj bezdrôtovej)
- odpojenie virtuálnych serverov od siete, prípadne “zamrazenie” (snapshot) stavu virtuálnych serverov vrátane stavu pamäti
- blokovanie spojení medzi sieťovými segmentami na firewalli
- ak sa jedná o kancelárske priestory, jednou z možností je aj vypnutie wifi
Presný postup pri izolácii je nutné veľmi exaktne komunikovať všetkým, ktorí by ho mohli vykonávať. Účelom je predísť neželanej strate dôležitých stôp či informácií, o ktorých sa neskôr môže ukázať, že sú nevyhnutné pre úspešnú obnovu (napríklad šifrovacie kľúče, časová informácia o dobe behu operačného systému a podobne).
Je kritické, aby pracovníci počas izolácie
- nevypínali zasiahnuté systémy
- neprihlasovali sa do nich nad rámec už prihlásených relácií
- neinštalovali žiadny nový softvér
- nespúšťali ani nezatvárali aplikácie