根絶

インシデントが含まれていると、次の復旧段階に進む前に、システムを保護するために脅威の原因を完全に排除するために根絶が必要になる場合があります。排除ステップには、マルウェアの削除、侵害されたユーザーアカウントの削除、悪用されたすべての脆弱性の特定と軽減が含まれる場合があります。根絶時には、環境内の影響を受けるすべてのアカウント、リソース、インスタンスを特定して、修復できるようにすることが重要です。

修復ステップが優先されるように、根絶と復旧は段階的なアプローチで行うのがベストプラクティスです。大規模なインシデントの場合、復旧に数か月かかることがあります。初期フェーズの目的は、将来のインシデントを防ぐために、比較的迅速に (数日から数週間) 価値の高い変更を行うことで、全体的なセキュリティを向上させることです。後のフェーズでは、エンタープライズを可能な限り安全に維持するために、長期的な変更 (インフラストラクチャの変更など) と継続的な作業に焦点を当てる必要があります。

一部のインシデントでは、根絶は不要であるか、復旧中に実行されます。