Otázka není jestli, ale kdy dojde k incidentu. Bez připraveného plánu reagujete chaoticky a děláte drahé chyby.
Fáze incident response¶
- Preparation: Plán, nástroje, tým, kontakty
- Detection: Identifikace incidentu (SIEM, alert)
- Containment: Omezení šíření (izolace, blokace)
- Eradication: Odstranění příčiny
- Recovery: Obnovení provozu
- Lessons Learned: Post-mortem, zlepšení
Containment checklist¶
- Izolovat postižené systémy (network segmentation)
- Revokovat kompromitované credentials
- Blokovat C2 komunikaci (firewall)
- Zachovat evidence (forensic image)
- Notifikovat stakeholders
Komunikační šablona¶
Subject: [SECURITY INCIDENT] Severity: HIGH — Unauthorized Access Detected Impact: API server compromised, potential data access Status: CONTAINED Actions taken: 1. Server isolated from network 2. API keys rotated 3. Forensic image captured Next steps: - Root cause analysis - Affected data assessment - Regulatory notification (if required)
Klíčový takeaway¶
Mějte plán PŘED incidentem. Containment first, forensics second. Dokumentujte vše. Post-mortem bez blame.
securityincident responsesocdfir