وقف الضرر

3. الاحتواء (Containment)

بمجرد التحقق من الحادث، تكون الأولوية هي منع المهاجم من إحداث المزيد من الضرر ومنع انتشار العدوى. وغالباً ما تكون هذه المرحلة هي الأكثر تحدياً.

• المدى القصير: عزل المضيف المخترق عن الشبكة (مثلاً فصل كابل الشبكة، حظر حركة المرور في جدار الحماية).
• المدى الطويل: تغيير كلمات المرور، تعطيل الحسابات المخترقة، أخذ صور جنائية للأنظمة المتأثرة قبل المعالجة.

4. الاستئصال (Eradication)

هذه هي المرحلة التي يتم فيها تحديد السبب الجذري وإزالته بشكل دائم.

• تحليل السبب الجذري: تحديد الثغرة الأولية (مثلاً 'تم استغلال خادم ويب قديم').
• التنظيف: إزالة جميع آثار المهاجم (الأبواب الخلفية، الخدمات الخبيثة، حسابات المستخدمين، والبرمجيات الخبيثة).
• التحديث: إصلاح الثغرة الأصلية التي سمحت بالاختراق.