Lors d'une réponse aux incidents, une équipe CERT devrait rechercher et travailler vers la restauration de données et de systèmes. Malheureusement, la nature de la brèche seule permet d'indiquer le chemin à suivre pour atteindre une restauration. Il est de valeur inestimable d'avoir des sauvegardes ou des systèmes redondants hors ligne dans ces cas-là.
Pour restaurer des systèmes, l'équipe de réponse doit ramener en ligne tout système ou application qui a échoué, comme les serveurs d'authentification, les serveurs de bases de données et toute autre ressource de production.
Il est fortement recommandé d'avoir du matériel de sauvegarde de production prêt à l'emploi, comme des disques durs supplémentaires, des serveurs hot-spare et équivalent. Les systèmes préconçus devraient avoir tous les logiciels de production chargés et prêts à un emploi immédiat. Seules les données les plus appropriées et récentes auront besoin d'être importées. Ce système préconçu devrait être gardé isolé du reste du réseau. Si un compromis se produit et que le système de sauvegarde fait partie du réseau, alors un système de sauvegarde n'a plus aucun intérêt.
La restauration de systèmes peut s'avérer un processus pénible. Dans de nombreux cas, vous pouvez choisir entre deux types d'actions. Les administrateurs peuvent effectuer une réinstallation propre du système d'exploitation sur chaque système affecté, suivie d'une restauration de toutes les applications et des données. D'un autre côté, les administrateurs peuvent appliquer des correctifs sur le système contre les vulnérabilités et ramener le système affecté en production.
Le fait d'effectuer une réinstallation assure que le système affecté sera nettoyé de tout cheval de Troie, de portes d'entrée cachées ou de processus malveillants. Une réinstallation assure également que toute donnée (restaurée d'une source de sauvegarde certifiée) soit nettoyée de toute modification malveillante. L'inconvénient à la restauration complète d'un système est le temps pris par la reconstruction des systèmes. Cependant, si un système de sauvegarde à chaud est disponible lorsque la seule action possible est de vider les dernières données, alors le temps d'indisponibilité du système est considérablement réduit.
Le fait d'appliquer des correctifs sur les systèmes affectés est une méthode plus dangereuse et devrait être manipulée avec attention. Le danger avec l'application de correctifs sur un système comparé avec une réinstallation est de déterminer si vous avez suffisamment nettoyé le système de chevaux de Troie, de trous de sécurité et de données corrompues. La plupart des rootkits (programmes ou paquetages qu'un craqueur utilise pour obtenir l'accès super-utilisateur sur votre système), des commandes système de cheval de Troie et des environnements shell sont conçus pour cacher les activités malveillantes aux analyses rapides. Si l'approche des correctifs est utilisée, seuls les binaires certifiés devraient être utilisés (par exemple, depuis un CD-ROM en lecture-seule monté).
| Précédent | Sommaire | Suivant |
| Recherche sur l'incident | Niveau supérieur | Rapportage d'incidents |