Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sradicare
Dopo aver contenuto un incidente, potrebbe essere necessario eliminarlo per eliminare del tutto le fonti di minaccia e proteggere il sistema prima di procedere alla fase di ripristino successiva. Le misure di eradicazione potrebbero includere l'eliminazione del malware e la rimozione degli account utente compromessi, nonché l'identificazione e la mitigazione di tutte le vulnerabilità sfruttate. Durante l'eliminazione, è importante identificare tutti gli account, le risorse e le istanze interessati all'interno dell'ambiente in modo che possano essere corretti.
È buona norma che l'eradicazione e il ripristino avvengano secondo un approccio graduale, in modo da dare priorità alle fasi di riparazione. Per gli incidenti su larga scala, il ripristino potrebbe richiedere mesi. L'intento delle fasi iniziali deve essere quello di aumentare la sicurezza complessiva con modifiche di valore relativamente rapide (da giorni a settimane) per prevenire incidenti futuri. Le fasi successive devono concentrarsi sui cambiamenti a lungo termine (ad esempio, modifiche all'infrastruttura) e sul lavoro continuo per mantenere l'azienda il più sicura possibile.
Per alcuni incidenti, l'eradicazione non è necessaria o viene eseguita durante il recupero.
Considera i seguenti aspetti:
-
È possibile modificare l'immagine del sistema e quindi rafforzarlo con patch o altre contromisure per prevenire o ridurre il rischio di attacchi?
-
Tutti i malware e gli altri artefatti lasciati dagli aggressori sono stati rimossi e i sistemi interessati sono protetti da ulteriori attacchi?
