ユーザー向けサービスの中断を回避するためには、セキュリティや信頼性に関連するインシデントから迅速にリカバリできる必要があります。とはいえ、セキュリティインシデントからリカバリする場合には、攻撃者の存在という大きな違いがあります。執念深い攻撃者は、リカバリに取り組んでいる最中であっても、こちらの環境に対する継続的なアクセスを利用するか、いつでも再び攻撃を仕掛けてくる可能性があります。

　本章では、システムを設計、実装、維持する者が攻撃からのリカバリに関して知っておく必要があることを深く掘り下げます。リカバリ作業を行うのは多くの場合、セキュリティの専門家ではなく、影響を受けるシステムを構築して日常的に運用している人々です。この章の教訓や事例は、リカバリ作業の間、攻撃者を食い止めておくにはどうすればよいかを浮き彫りにします。ここでは、リカバリ段階のロジスティクス、タイムライン、計画、開始を順に見ていきます。また、「攻撃者の活動を中断させるタイミング」と「攻撃者についてより多くを知るためにシステム内で泳がせておく方針」など、重要なトレードオフについても検討します。