Tāpat kā uz ķīmisko tīrītavu mēs nesam apģērbu ar svaigiem traipiem (nevis jau 10x mājas apstākļos izmazgātu), vai fiziska nozieguma vieta tiek norobežota, lai netiktu bojāti lietiskie pierādījumi – arī kiberincidenta gadījumā ir jārīkojas līdzīgi – operatīvi un pareizi jāsaglabā un jāsavāc digitālie pierādījumi. Organizācijas ietvaros to vajadzētu uzticēt IT speciālistam ar atbilstošām zināšanām un prasmēm.

Veiksmīgai pierādījumu iegūšanai būtiski jau laicīgi atbilstoši sagatavot sistēmas, piemēram, saglabāt žurnalēšanas pierakstus (log files) par pietiekami ilgu laika periodu, lai tad, kad notiek incidents, būtu pieejami materiāli analīzei.

Incidenta iestāšanās gadījumā iespējami divi rīcības scenāriji: darbību veikšana pēc iespējas ātrākai incidenta seku likvidēšanai un organizācijas darbības atjaunošanai, kas, iespējams, bojās digitālos pierādījumus un padarīs izmeklēšanu apgrūtinošu vai neiespējamu, vai digitālo pierādījumu iegūšana un incidenta izmeklēšana, kas, iespējams, palēninās organizācijas darbības atjaunošanu, bet ļaus noskaidrot uzbrukuma cēloņus un metodes, lai nepieļautu tā atkārtošanos. Nosūtot atbildīgajām iestādēm digitālos pierādījumus, būtiski iesniegt visu pieejamo informāciju, nevis tikai to daļu, ko uzskatāt par svarīgu, nepalīdzot saskatīt visu kopainu.

Ievācot pierādījumus, ir svarīga to savākšanas secība, jo daļa pierādījumu ir pieejami tikai īsu laika periodu, un tāpēc to prioritāte ir augstāka attiecībā pret pierādījumiem ar ilgāku ”dzīves laiku”.

Šeit ir apkopota pierādījumu ievākšanas secība, sākot ar augstāko prioritāti:

  1. Operatīvā atmiņa (RAM): ja sistēma ir virtualizēta, atmiņa jāsavāc no hipervizora puses; fiziskas sistēmas gadījumā atmiņas attēls jāieraksta no pašas sistēmas;
  2. Cietā diska saturs: ja tiek izmantota diska šifrēšana, diska attēls jāveido no palaistas sistēmas;
  3. nešifrētu disku gadījumā virtualizētajām sistēmām jāizveido diska momentuzņēmums no hipervizora puses, fizisku sistēmu gadījumā var pēc iespējas ātrāk izslēgt sistēmu (atslēdzot elektrību), tad nodot pašu disku tālākai analīzei, vai izveidot tā attēlu (pieslēdzot disku citam datoram ir jāpārliecinās par drošību; ja ir aizdomas par ļaunatūru, disku nevar slēgt klāt Windows datoriem);
  4. Žurnālfaili no citām iekārtām, kas varētu būt noderīgi (piemēram, no tīkla iekārtām, centralizētā monitoringa datiem, e-pastu serveriem);
  5. Ārējie datu nesēji.