Главным образом, вы должны реализовать эффективные защитные меры, которые включают:
Создание команды реагирования на инциденты "Incident Response Team". Определите тех людей, которые должны быть вызваны всякий раз, когда зафиксирован инцидент.
Необходимо разработать руководящие документы, описывающие варианты реагирования. Например, вы должны решить позволять ли осуществлять атаку злоумышленнику в случае нападения или сразу прекратить ее. Иногда, для предоставления доказательств в суде или иной инстанции необходимо не прекращать атаку, а собирать дополнительную информацию об атакующем и его действиях.
Необходимо разработать руководящие документы, описывающие варианты связи с другими людьми в случае обнаружения атаки. Вы информируете об атаке своего руководителя и т.д. вплоть до руководства компании или распространяете также среди всех заинтересованных лиц по горизонтали? Вы принимаете участие в таких организациях как FIRST (или RU-CERT в России - примечание переводчика)? Вы сообщаете об атаке в милицию или иное силовое ведомство? Вы сообщаете об атаке Вашим партнерам, которые подключены к Вашей сети и также могут быть скомпрометированы? Вы скрываете факт атаки от печатных изданий?
Создайте и опишите процедуры регистрации/аудита/мониторинга. Вы должны иметь адекватную и актуальную информацию о том, что, когда и откуда происходит в вашей сети.
Обучите свой персонал всем этим вопросам.
Так как сети постоянно изменяются настолько быстро, в организациях не хватает обученных людей, которые могут своевременно обрабатывать возникающие инциденты. Аналогично, сети растут таким образом, что регистрация и аудит не всегда адекватны текущему состоянию сети. Это приводит к тому, что люди не знают что делать, когда они атакованы и их сети недостаточно крепки для эффективного противостояния атакам.