4.6.6　恢复阶段

最后一个阶段是恢复阶段，只有在组织确定已识别的威胁已被消除，并且面临的所有风险都已得到控制后，才会进入恢复阶段。这一阶段的目标是使组织恢复到受到威胁攻击之前的状态。

恢复对时间的要求较低，但高度依赖于再次恢复可用状态的软件或服务类型。但是，此过程需要小心；在攻击事件中或事件响应期间可能实施的更改需要回溯。这两个过程可能会导致采取非期望的配置或操作，使系统受到损害或防止系统受到进一步破坏。

至关重要的是，必须将系统恢复到它们在受到攻击之前所处的确切状态。有一些自动恢复工具可以将系统自动恢复到备份状态。然而，必须进行全面调查，以确保不会引入或遗漏任何后门。