Durante il verificarsi di un incident response, il team CERT dovrebbe effettuare sia una investigazione e sia opportare una operazione di recupero dei dati e del sistema. Sfortunatamente la natura della violazione influenza il percorso di recupero. Avere dei sistemi di sostegno durante questo periodo, può risultare un elemento molto prezioso.
Per poter recuperare i sistemi, il team di risposta riporta qualsiasi sistema o applicazione precedentemente interrotti nuovamente online, come ad esempio i server di autenticazione, i server del database e qualsiasi altra risorsa di produzione.
È fortemente consigliato avere un hardware di produzione di sostegno pronto all'uso, come ad esempio dischi fissi extra, server di ricambio, ecc. I sistemi già pronti dovrebbero essere muniti di software di produzione già caricato e pronto per essere usati in ogni momento. È importante che si importino solo dati recenti, aggiornati e necessari. Questo tipo di sistema deve essere isolato dal resto della rete. Se si verifica una compromissione e il sistema di sostegno risulta essere parte della rete, il suo utilizzo risulterebbe esserne vano.
Il ripristino di un sistema può essere un processo lungo. In molti casi ci possono essere due tipi d'azione dal quale scegliere. Gli amministratori possono effettuare una reinstallazione pulita del sistema operativo su ogni sistema interessato, seguita da un ripristino delle applicazioni e dei dati. Alternativamente, gli amministratori possono emettere delle patch sulle vulnerabilità riscontrate, riportando il sistema nell'ambiente di produzione.
Effettuare una reinstallazione pulita, assicura che il sistema infetto venga pulito da eventuali bug trojans, o processi maliziosi. Tale pratica assicura che qualsiasi dato (se installato nuovamente da una fonte fidata di sostegno) sia esente da qualsiasi modifica apportata da utenti non autorizzati. Lo svantaggio rappresentato in tale operazione, è rappresentato dal fatto che il tempo necessario per reitegrare i sistemi è molto lungo. Tuttavia se vi è la presenza di un sistema di sostegno del tipo hot, che richiede di scaricare solo i dati più recenti, il periodo d'inattività del sistema viene ridotto in maniera sostanziale.
I sistemi affetti dalle patch, rappresentano un percorso più pericoloso e bisogna affrontarlo con molta attenzione. Il pericolo rappresentato dal patching di un sistema invece di reinstallarlo, è rappresentato dal fatto che non sempre si può determinare con esattezza la pulizia di un sistema da trojan, falle nella sicurezza e dai dati corrotti. Molti rootkit (programmi o pacchetti usati dai cracker per ottenere un accesso al sistema), comandi per il sistema trojan e ambienti shell, sono creati per nascondere le attività illecite da verifiche rapide. Se si sceglie la soluzione rappresentata dalle patch, usare solo binari fidati (per esempio, da un CD-ROM montato in modalità di sola lettura).