Nella risposta agli incidenti, ci sono comunemente due approcci all'isolamento e al contenimento dopo che è stato riportato un incidente reale.
- I sistemi compromessi sono disabilitati o disconnessi, ma le operazioni proseguono ripristinando un sistema ridondante fino a quando l'incidente non viene risolto, o scollegato / disabilitato temporaneamente fino a quando l'incidente non viene risolto
- I sistemi compromessi non sono disabilitati o scollegati e il normale funzionamento continua? Ma dedica del tempo a rintracciare hacker e raccogliere prove ??
In entrambi gli approcci, alcuni esperti suggeriscono che la disconnessione non è consigliabile a causa di motivi legali. In tal caso, qual è il modo migliore per isolare / contenere l'incidente in modo che non si diffonda ulteriormente e, allo stesso tempo, non permetta all'hacker di sapere che abbiamo già rilevato la sua esistenza? IMO, penserei che sia una questione di tempo e risorse? Preferiresti passare il tempo a rintracciare chi, come sono arrivati? O preferisci applicare patch e visualizzare rapidamente i tuoi sistemi?
Ho chiesto questo perché non abbiamo un piano di risposta agli incidenti molto efficace e stiamo cercando di trovare il modo migliore per gestire gli incidenti.