事故恢復

一旦事故已經受到抑制，并且系統控制已經恢復，就可以開始進行事故恢復了。如同在事故響應階段過程中一樣，第一個任務是通知合適的人員。幾乎同時，IR團隊必須全面地了解損失程度以便確定必須做些什么工作才能恢復系統。 每個有關人員都應該根據IRP中關于事故恢復的適當部分來開始恢復操作。

立即確定信息的機密性、完整性和有效性以及信息資產受到的破壞范圍的過程叫做事故損壞性評估。事故評估可能會花費數天或者數周的時間，這取決于損壞的程度。損害可以從較小程度（一個好奇黑客的窺探）一直到很嚴重（一個蠕蟲或病毒對數百個計算機系統的感染）。同事故響應文檔一樣，系統日志、入侵檢測日志、配置日志和其他的文檔也提供了關于損害的類型、范圍和程度的信息。IR 團隊利用這些信息來評估信息和信息系統的當前狀態，并且把它和已知的狀態相比較。如果事故是犯罪的一部分或者導致民事訴訟，則記錄真實事故所造成損害的個人必須接受培訓以收集并保存證據。

一旦損害的程度被確定下來，恢復過程就開始了。這個過程包括以下步驟：

*確定造成事故發生以及傳播的漏洞，解決它們。

*重點關注那些不能成功阻止或限制事故的安全措施，以及從一開始就缺少的安全措施，安裝、替換或者升級。

*評估監控能力（如果提出）。改進探測和報告方法，或者安裝新的監控設施。

*從備份中恢復數據。IR團隊必須理解機構所使用的備份策略，恢復備份中包含的數據，然后使用適當的恢復過程，從逐漸增加的備份或數據庫日志中重新創建在上次備份以后創建或修改的所有數據。

*恢復使用中的服務和進程。必須檢查受到威脅的服務和進程，然后整理并恢復它們。如果服務或進程在重新獲得系統控制的過程中受到中斷，則它們需要在線恢復。

*連續監視系統。如果一個事故曾經發生，那么它很可能再次發生。黑客經常在聊天室里自夸他們的功績并且向同伴們挑戰。如果談話被傳播出來，其他受到誘導的人可能會試圖采用同樣或者不同的辦法攻擊你的系統。因此在整個IR過程期間保持警惕是很重要的。

*恢復機構內利益共同團成員之間的信任。IR可能希望發行一個簡短的備忘錄略述事故，并且確保事故得到處理以及損害受到控制。如果只是一場較小的事故，則可以這樣做。如果事故較大或者對系統或數據造成了嚴重的損害，別要向用戶保證能盡快地恢復正常操作，其目的是防止恐慌或者混亂引起機構內部操作的其他混亂。

在恢復常規職責之前，IR團隊必須進行事后回顧(AAR，after-action review)。 事后回顧對出現的事件進行全面而又詳細的檢查，’檢查的時間段從該事件第一次被探測到，一直持續到最后恢復。所有關鍵操作人員都要回顧他們自己的記錄并且檢查IR文檔的準確性和精確性。團隊的所有成員則要回顧他們在事故期間的行為，并確定出IR計劃在哪些地方是有效的、無效的或者是應該改進的。這個練習允許團隊不斷改進IRP，AAR可以作為一種訓練的案例被使用到對未來員工的培訓過程中。IR團隊的活動至此結束。