Voor je op een incident kunt reageren moet je weten dat je gehackt bent, iets wat in sommige gevallen duidelijk is en in andere weer niet. Sommige aanwijzingen zien bedrijven vaak over het hoofd of worden niet als teken van een succesvolle aanval beschouwd. Het Internet Storm Center zette er tien op een rijtje die kunnen aangeven dat er mogelijk wat mis is.

1. Je loggingserver heeft in de laatste 12 uur niets meer gelogd of je hebt geen waarschuwingen ontvangen.
   
2. Je FTP server of andere harde schijven zijn plotseling vol of je logs zijn opeens groter dan normaal.
   
3. De producten van de concurrentie zien er net als die van jou uit, alleen met een ander kleurtje.
   
4. Je klanten ontvangen spam op e-mailadressen die ze alleen gebruikten om zich bij jou aan te melden.
   
5. Gebruikers klagen dat hun machines zich vreemd gedragen.
   
6. Iemand zoekt hulp met de verbinding van het draadloze access point van de onderneming, terwijl je helemaal geen access point hebt.
   
7. Klachten dat software steeds blijft crashen.
   
8. Klachten dat logins en wachtwoorden niet werken.
   
9. Systemen die onverklaarbaar traag werken.
   
10. Bezoekers van de website klagen dat ze worden doorgestuurd naar dubieuze websites.