Risposta breve: entrambi.
Segue una risposta più lunga.
La risposta agli incidenti inizia effettivamente prima di uno di questi due casi. Un piano di risposta agli incidenti maturo ha classificazioni specifiche su ciò che si qualifica come incidente e che può variare da un'organizzazione all'altra, ma esiste un secondo termine, event
. Prima che venga confermato che il malware si sta diffondendo sulla rete e la risposta agli incidenti deve rispondere, è probabile che si siano verificati diversi eventi. Un evento sarebbe la macchina dell'utente che inviava enormi quantità di richieste per quale host è vivo sulla rete. Un altro evento sarebbe l'utente che accede a un sito Web discutibile. E così via, e così via. Almeno alcuni di questi eventi dovrebbero essere catturati dai sistemi di registrazione sulla rete. Alcuni potrebbero essere catturati dall'utente. "Ehi, ho ricevuto questa strana email e ho aperto l'allegato", dovrebbe essere una gigantesca luce rossa lampeggiante che qualcosa non va.
In che modo un'organizzazione classifica gli eventi e il modo in cui li gestiscono dipende dai poteri. Se la squadra IR è stata girata ogni volta che "qualcosa di strano" è accaduto, probabilmente si sarebbero ritirati dal burnout.
La risposta agli incidenti è una raccolta di tecnologia (SIEM, registrazione, filtro e-mail) e criteri. Non posso dirvi come organizzare e gestire queste cose, perché questo dipende da ciascuna azienda.
Torna alla tua domanda. Sono entrambi e molto altro.