Enquanto uma resposta ao incidente é executada, a equipe CERT deve investigar e trabalhar na recuperação dos dados e do sistema. Infelizmente, a natureza da infração é que dita o curso da recuperação. É muito importante ter sistemas redundantes, backup ou offline, durante este período.
Para recuperar os sistemas, a equipe de resposta deve trazer de volta quaisquer sistemas ou aplicações fora do ar, como servidores de autenticação, servidores de banco de dados, e outros recursos de produção.
É altamente recomendável ter hardware backup da produção pronto para uso, como drives extras, servidores avulsos e outros do gênero. Sistemas prontos devem ter todo o software de produção carregado e pronto para uso imediato. Somente os dados mais recentes e pertinentes devem ser importados. Este sistema pronto deve ser mantido separadamente do resto da rede. Se ocorrer um comprometimento e o sistema de backup for parte da rede, então não há propósito em ter um sistema backup.
A recuperação do sistema pode ser um processo tedioso. Em muitos casos há dois cursos de ações a escolher. Administradores podem executar uma nova instalação do sistema operacional em cada sistema afetado, seguida da restauração de todas as aplicações e dados. Alternativamente, os administradores também podem consertar as vulnerabilidades penetradas e trazer o sistema afetado de volta à produção.
Executar uma nova reinstalação assegura que o sistema afetado será limpo de quaisquer trojans, 'backdoors' ou processos maléficos. A reinstalação também assegura que quaisquer dados (se recuperados a partir de um backup confiável) estão livres de qualquer modificação maléfica. A desvantagem da recuperação total do sistema é o tempo envolvido na reconstrução dos sistemas a partir do zero. No entanto, se houver um bom sistema de backup disponível para uso, no qual a única ação a tomar é carregar os dados mais recentes, então o downtime (tempo fora do ar) é reduzido drasticamente.
Consertar o sistema afetado é um curso de ações mais perigoso e deve ser executado com muita atenção. O perigo de consertar um sistema ao invés de reinstalar é determinar se você realmente livrou o sistema de trojans, buracos da segurança e dados corrompidos. A maioria dos rootkits (programas ou pacotes usados por um cracker para obter acesso root em seu sistema), comandos de sistema trojan e ambientes de janela de comandos são desenvolvidos para ocultar atividades maléficas de auditorias superficiais. Se você optar pelo conserto, use somente binários confiáveis (ex.: a partir de um CD-ROM montado e somente-leitura).