10.3. Implementazione di un piano di risposta ad un incidente

Una volta creato un piano d'azione, esso deve essere condiviso e implementato attivamente. Ogni aspetto non condiviso del piano durante l'implementazione attiva, ne potrebbe risultare in un tempo di risposta non idoneo e di una conseguente interruzione in caso di violazione. Ecco come gli esercizi pratici hanno valore inestimabile. A meno che non si faccia presente qualche problematica prima dell'utilizzo attivo del piano in un ambiente di produzione, l'implementazione deve essere condivisa ed eseguita con sicurezza, da tutti i membri collegati.

Se si verifica una violazione, ed il team CERT è pronto per una pronta reazione, le risposte a tale pericolo possono variare. Il team può decidere d'interrompere i collegamenti di rete, scollegare i sistemi interessati, emettere delle patch per gli exploit, per poi ristabilire il collegamento senza causare maggiori complicazioni. Un'altra alternativa è rappresentata dal controllo ,da parte del team di sicurezza, delle azioni dell'aggressore. È possibile che il team possa altresì dirigere l'aggressore verso una trappola —, e cioè verso un sistema o un segmento di una rete contenente dati appositamente falsificati, — in modo tale da seguire l'intrusione in modo sicuro, senza apportare interruzioni alle risorse di produzione.

La risposta ad un incidente deve essere seguita, quando possibile, da una raccolta di informazioni. L'esecuzione dei processi, dei collegamenti di rete, dei file, delle directory e molto altro, dovrebbe essere controllato attivamente in tempo reale. Avere un'idea delle risorse di produzione come confronto, può essere d'aiuto per il controllo dei servizi o dei processi. I membri CERT e gli esperti interni, rappresentano una risorsa importante per quanto riguarda il controllo di tali anomalie in un sistema. Gli amministratori di sistema, sono a conoscenza dei processi che dovrebbero o meno, apparire quando si esegue top o ps. Gli amministratori di rete sono a conoscenza di come il traffico di rete, in condizioni normali, dovrebbe apparire quando si esegue snort oppure tcpdump. I suddetti membri, dovrebbero conoscere i propri sistemi e dovrebbero essere in grado di rilevare anomalie più rapidamente di un utente non familiare con l'infrastruttura.