근절

인시던트가 억제된 후 다음 복구 단계로 진행하기 전에 시스템을 보호하기 위해 위협 원인을 완전히 제거하기 위해 근절이 필요할 수 있습니다. 제거 단계에는 멀웨어 삭제 및 손상된 사용자 계정 제거, 악용된 모든 취약성 식별 및 완화가 포함될 수 있습니다. 근절 중에는 환경 내에서 영향을 받는 모든 계정, 리소스 및 인스턴스를 식별하여 문제를 해결하는 것이 중요합니다.

문제 해결 단계가 우선시되도록 단계적 접근 방식으로 근절 및 복구를 수행하는 것이 모범 사례입니다. 대규모 인시던트의 경우 복구에 몇 개월이 걸릴 수 있습니다. 초기 단계의 의도는 향후 인시던트를 방지하기 위해 비교적 빠른(수일에서 수주) 고가치 변경으로 전반적인 보안을 강화하는 것이어야 합니다. 이후 단계에서는 엔터프라이즈를 최대한 안전하게 유지하기 위해 장기 변경(예: 인프라 변경)과 지속적인 작업에 중점을 두어야 합니다.

일부 인시던트의 경우 근절이 필요하지 않거나 복구 중에 수행됩니다.