A phishing email was sent and one employee clicked the link and entered their domain credentials. What are your incident response steps?

1. Изолировать пострадавший аккаунт: немедленно заблокировать или отключить учетную запись сотрудника, чтобы предотвратить дальнейший несанкционированный доступ.

2. Сменить пароли: инициировать сброс паролей для скомпрометированного аккаунта и, при необходимости, для других связанных систем.

3. Проверить логи и активность: проанализировать журналы доступа, чтобы определить, какие ресурсы были затронуты и не было ли дальнейших попыток взлома.

4. Провести сканирование на наличие вредоносного ПО: проверить устройство сотрудника на наличие вирусов, троянов и других угроз.

5. Уведомить команду безопасности и руководство: сообщить о происшествии ответственным лицам для координации дальнейших действий.

6. Обновить и усилить меры безопасности: при необходимости внедрить двухфакторную аутентификацию, обновить политики безопасности.

7. Обучить сотрудников: провести дополнительное обучение по распознаванию фишинговых писем и безопасному поведению в сети.

8. Документировать инцидент: зафиксировать все действия и выводы для последующего анализа и отчетности.

Такой подход поможет минимизировать ущерб и предотвратить повторение подобных инцидентов.