Questo dipende in gran parte dalle politiche dell'organizzazione, ma ciò di cui stai parlando è Incident Response (IR), che ricade sotto il termine generico di Gestione degli incidenti di sicurezza informatica .
La risposta che viene adottata in genere dipende dal tipo di attacco, dagli eventuali attori noti della minaccia e dai singoli sistemi o regioni di rete che sono noti per essere compromessi. Queste sono distinzioni importanti: non si farebbero le stesse azioni con la postazione di un addetto alla reception compromessa come si farebbe con un sistema di supporto vitale compromesso o un sistema di controllo industriale.
I passaggi principali in IR sono:
- Avviso - Qualcuno notifica al team che si è verificata una potenziale violazione.
- Classificazione - Un risponditore di primo livello esegue un'analisi preliminare per identificare il livello di minaccia e prende i passaggi IR prescritti per la classe di minaccia (ad esempio normale, critica, ecc.)
- Azione: isolamento e pulizia dei sistemi interessati, con misure per garantire che tutte le backdoor siano chiuse e che il buco originale sia corretto.
- Indagine - Identificazione di come è apparsa la minaccia, attribuzione degli aggressori, ecc.
Puoi quindi dividerli e riorganizzarli in base a una situazione particolare. In alcuni casi, l'organizzazione potrebbe essere interessata unicamente al recupero e al proseguimento, pertanto la fase di indagine è minima o addirittura saltata. In altri casi, può essere presa in considerazione la procedura legale, pertanto viene prestata particolare attenzione a fornire una solida catena di prove usando strumenti noti per essere approvati dai tribunali locali. A volte la fase di azione non prevede affatto la pulizia della macchina, nel tentativo di registrare e monitorare il comportamento degli aggressori in tempo reale per ottenere un'attribuzione più strong.
In breve: la risposta è che dipende dall'organizzazione e dalla situazione. IR è raramente in bianco e nero.