Tipica sequenza di azioni in risposta ad un incidente informatico (italiano)

0. Rilevazione di un comportamento anormale/inaspettato
1. Preparazione
2. Individuazione
3. Contenimento
4. Eliminazione
5. Ripristino
6. Analisi dettagliata

1. Identificazione dell’incidente
È un incidente reale? (falsi alarmi sono spesso
dovuti a malfunzionamenti di apparati o software)
Determinare l’ambito dell’incidente
Valutare il danno
2. Notifica dell’incidente
Chi deve essere informato
Cosa va documentato
3. Protezione delle evidenze
Salvataggio dei file di log
Registrazione delle attività effettuate (comprensiva del tempo richiesto per ognuna)
Raccolta delle prove
4. Contenimento
Decisione sull’eventuale shut down del sistema
Modalità dello shut down (per evitare la perdità o la corruzione delle prove).
5. Eliminazione della vulnerabilità
Da effettuare dopo la raccolta di tutte le prove!
Eliminazione di altre vulnerabilità dopo l’opportuna analisi (vulnerability scanning).
6. Ripristino del sistema un backup “sicuro”
7. Analisi e documentazione