La risposta dipende da chi sei e da cosa sta accedendo all'attaccante. Se sei un utente domestico, hai paura di perdere le tue password bancarie o numeri di carte di credito, sì, disconnetti. Se sei un investigatore aziendale interno addestrato a catturare prove forensi, e l'attaccante viene sorpreso a sondare i tuoi sistemi, probabilmente inizierai presentando un incidente e iniziando a tracciare la loro attività.
Tuttavia, se il sistema cui accede l'utente malintenzionato contiene database delle informazioni protette dal governo dei propri clienti (GLBA, HIPAA, FERPA, COPA, ecc.) o le loro informazioni finanziarie coperte dai regolamenti PCI (numeri di carta di credito, ecc.), dovresti probabilmente contattare il tuo ufficio dell'FBI locale e chiedere la loro unità di crimini informatici. In assenza di qualsiasi altro piano di risposta, lo farei immediatamente mentre il crimine è in corso, ma in ogni caso sarà probabilmente richiesto di segnalarlo a loro entro 24 ore dalla scoperta. Dovrebbero fornire la risposta appropriata, che potrebbe includere "non fare nulla per due ore mentre inviamo qualcuno a indagare".
La cosa più importante è che la tua risposta dovrebbe essere determinata in anticipo e scritta in una politica di sicurezza delle informazioni insieme al consiglio dell'avvocato aziendale. Forse deciderete di mettere una società investigativa sul fermo, e usarli come primo contatto (al fine di evitare cattive pubblicità riguardo al contatto con l'FBI se determinano che l'attaccante non ha accesso ai dati protetti). Ma è importante pianificare questo in anticipo - se un attacco si verifica a mezzanotte, è probabile che la prima risposta dell'amministratore non chiami l'avvocato per un consiglio.