一旦建立好一個行動方案,所有人都必須同意且主動地實作它,在主動的實作階段,計畫中如有任何的方面受到質疑,將會導致在破壞發生時極差的回應時間與系統中斷時間。 這就是為何事件的演練是如此重要的。 在這個計畫被主動地設定在生產環境中前,除非 有發生令人重視的事件,所有直接關聯的人員都必須同意這個計畫的實作,且必須有信心 的執行它。
假如當能夠快速回應的 CERT 小組在場時發現一個系統入侵,可能會有幾種回應的方法。 這個小組可以決定要中斷網路連線,中斷受影響系統的連線,修復它,然後再盡速 地將其重新連線,以減少可能的複雜情況發生。 小組也可以監視這個入侵者,並且追蹤 他們的行動,甚至將他們引導進入一個 虛擬攻防系統--HoneyPot — 故意設計為含有錯誤資料的有缺陷的系統或網路區段 — 為了要安全地追蹤侵入,並且不影響到用作生產的資源。
事件的處理也應該伴隨著盡可能的資訊蒐集,所執行的程序、網路連線、檔案與目錄等等的操作都應該要即時的進行審核,將用作生產的資源所做的快照來做比較,對追蹤欺騙的服務或程序很有幫助,CERT 成員與公司內部的專家們將是用來追蹤系統中如此異常狀況的最佳資源。 系統管理員只要執行 top 或 ps 指令便可得知那些程序應不應該被執行,網路管理員只要執行 snort 或甚至 tcpdump 指令便可得知何者為 正常的網路流量。 這些小組成員應該比其他對這個架構不熟悉的其他人還要了解他們 的系統且能夠快速地找出異常狀況的發生。