Preparação / Procedimentos em alto nível para suspeita de vazamento de dados por comprometimento de um servidor

Pergunta: Quais seriam os Procedimentos (incluindo a preparação) em alto nível para tratar um incidente de suspeita de vazamento de dados por comprometimento de um servidor?

Este assunto foi suscitado no ótimo blog "Resposta a Incidentes e Forense Computacional".

Segue minha resposta (incluindo links) - e já com a correção (F-Response e não F-Secure...) feita pelo Tony:

Para responder de uma maneira mais completa ao problema proposto, o ideal é que a equipe de resposta a incidentes responsável possa contar com 3 tipos de soluções, listadas por ordem de importância para o caso em pauta:

I - Uma infra-estrutura de "Network Forensics" que seja capaz de reconstruir e fazer o "replay" dos pacotes relacionados ao ataque (ex: NetWitness NextGen / CA Network Forensics)

II - Uma solução de SIEM/SEM para correlacionamento em near-real time dos logs (firewall, roteadores, servidor comprometido, ids/ips, dhcp, dns, aplicações internas, catracas de acesso, sistema de ponto, controle de acesso lógico, etc) (ex: ArcSight / ISM Intellitatics / Symantec SIM)

III - Uma solução (idealmente enterprise) de forense computacional que possibilite a análise de dados voláteis (incluindo memória) e de disco (ex: Encase Enterprise / F-Response / AccessData Enterprise )

IV - Uma ferarmenta de monitoração de atividade de desktops (ex: SpectorCNE, WorkExaminer) [item incluído em 18/10/2009]