Wyjaśnienie reakcji na incydent: etapy i oprogramowanie Open Source

Obecny wiek to superkomputery w naszych kieszeniach. Jednak pomimo korzystania z najlepszych narzędzi bezpieczeństwa przestępcy wciąż atakują zasoby online. Ten post ma przedstawić Ci Incident Response (IR) , wyjaśnić różne etapy IR, a następnie wymienić trzy bezpłatne oprogramowanie open source, które pomaga w IR.

Co to jest reakcja na incydent

REAGOWANIA NA INCYDENTY

Co to jest incydent(Incident) ? Może to być cyberprzestępca lub jakiekolwiek złośliwe oprogramowanie przejmujące Twój komputer. Nie powinieneś ignorować IR, ponieważ może się to zdarzyć każdemu. Jeśli uważasz, że nie zostaniesz dotknięty, możesz mieć rację. Ale nie na długo, ponieważ nie ma gwarancji, że cokolwiek jest podłączone do Internetu(Internet) jako takiego. Każdy artefakt może stać się nieuczciwy i zainstalować złośliwe oprogramowanie lub umożliwić cyberprzestępcy bezpośredni dostęp do Twoich danych.

Powinieneś mieć szablon reakcji na incydent(Incident Response Template) , aby móc odpowiedzieć w przypadku ataku. Innymi słowy, IR nie dotyczy JEŻELI,(IF,) ale KIEDY(WHEN) i JAK(HOW) w informatyce.

Reagowanie na incydenty(Incident Response) dotyczy również klęsk żywiołowych. Wiesz, że wszystkie rządy i ludzie są przygotowani na każdą katastrofę. Nie mogą sobie pozwolić na wyobrażanie sobie, że zawsze są bezpieczni. W takim naturalnym zdarzeniu rząd, wojsko i mnóstwo organizacji pozarządowych ( NGO(NGOs) ). Podobnie(Likewise) nie możesz sobie pozwolić na przeoczenie Incident Response (IR) w IT.

Zasadniczo IR oznacza gotowość do cyberataku i powstrzymanie go, zanim wyrządzi jakiekolwiek szkody.

Reakcja na incydent — sześć etapów

Większość guru IT(IT Gurus) twierdzi, że istnieje sześć etapów reagowania(Incident Response) na incydenty . Inni trzymają go na 5. Ale sześć jest dobrych, ponieważ łatwiej je wytłumaczyć. Oto etapy IR, na które należy zwrócić uwagę podczas planowania szablonu reakcji na incydent .(Incident Response)

  1. Przygotowanie
  2. Identyfikacja
  3. Powstrzymywanie
  4. Likwidacja
  5. Odzyskiwanie i
  6. Zdobyta wiedza

1] Reakcja na incydent – ​​przygotowanie(1] Incident Response – Preparation)

Musisz być przygotowany na wykrycie i radzenie sobie z każdym cyberatakiem. To znaczy, że powinieneś mieć plan. Powinna również obejmować osoby o określonych umiejętnościach. Może obejmować osoby z organizacji zewnętrznych, jeśli brakuje Ci talentów w Twojej firmie. Lepiej mieć szablon IR, który określa, co zrobić w przypadku ataku cybernetycznego. Możesz utworzyć je samodzielnie lub pobrać z Internetu(Internet) . W Internecie(Internet) dostępnych jest wiele szablonów reagowania(Incident Response) na incydenty . Ale lepiej jest zaangażować swój zespół IT w szablon, ponieważ wiedzą lepiej o warunkach Twojej sieci.

2] IR – Identyfikacja(2] IR – Identification)

Odnosi się to do identyfikowania ruchu sieciowego Twojej firmy pod kątem wszelkich nieprawidłowości. Jeśli znajdziesz jakieś anomalie, zacznij działać zgodnie ze swoim planem IR. Być może już umieściłeś sprzęt i oprogramowanie zabezpieczające, aby powstrzymać ataki.

3] IR – Powstrzymywanie(3] IR – Containment)

Głównym celem trzeciego procesu jest powstrzymanie wpływu ataku. W tym przypadku zawieranie oznacza zmniejszenie wpływu i zapobieganie cyberatakom, zanim zdoła cokolwiek uszkodzić.

Powstrzymywanie reakcji na incydenty(Incident Response) wskazuje zarówno na plany krótko-, jak i długoterminowe (zakładając, że masz szablon lub plan przeciwdziałania incydentom).

4] IR – Zwalczanie(4] IR – Eradication)

Eliminacja, w sześciu etapach Incident Response, oznacza przywrócenie sieci, która została dotknięta atakiem. Może to być tak proste, jak obraz sieci przechowywany na oddzielnym serwerze, który nie jest połączony z żadną siecią ani Internetem(Internet) . Może służyć do przywracania sieci.

5] IR – Odzyskiwanie(5] IR – Recovery)

Piątym etapem Incident Response jest oczyszczenie sieci w celu usunięcia wszystkiego, co mogło pozostać po usunięciu. Odnosi się to również do przywrócenia sieci do życia. W tym momencie nadal będziesz monitorować każdą nienormalną aktywność w sieci.

6] Reakcja na incydent – ​​wyciągnięte wnioski(6] Incident Response – Lessons Learned)

Ostatnim etapem sześciu etapów reagowania na incydenty jest przyjrzenie się incydencie i zanotowanie przyczyn, które były przyczyną jego winy. Ludzie często pomijają ten etap, ale konieczne jest, aby dowiedzieć się, co poszło nie tak i jak można tego uniknąć w przyszłości.

Oprogramowanie Open Source(Open Source Software) do zarządzania reagowaniem na incydenty(Incident Response)

1] CimSweep to bezagentowy zestaw narzędzi, który pomaga w reagowaniu(Incident Response) na incydenty . Możesz to zrobić również zdalnie, jeśli nie możesz być obecny w miejscu, w którym to się stało. Ten pakiet zawiera narzędzia do identyfikacji zagrożeń i zdalnego reagowania. Oferuje również narzędzia kryminalistyczne, które pomagają sprawdzać dzienniki zdarzeń, usługi, aktywne procesy itp. Więcej szczegółów znajdziesz tutaj(More details here) .

2] Narzędzie GRR Rapid Response Tool(2] GRR Rapid Response Tool) jest dostępne w serwisie GitHub(GitHub) i pomaga w przeprowadzaniu różnych testów w sieci (w domu(Home) lub biurze(Office) ), aby sprawdzić, czy nie ma żadnych luk w zabezpieczeniach. Posiada narzędzia do analizy pamięci w czasie rzeczywistym, przeszukiwania rejestru itp. Jest zbudowany w Pythonie(Python) , więc jest kompatybilny ze wszystkimi systemami operacyjnymi Windows – XP(Windows OS – XP) i nowszymi wersjami, w tym Windows 10. Sprawdź to na Github(Check it out on Github) .

3] TheHive to kolejne bezpłatne narzędzie typu open source do reagowania na incydenty . (Incident Response)Umożliwia pracę w zespole. Praca zespołowa ułatwia przeciwdziałanie cyberatakom, ponieważ praca (obowiązki) są ograniczane przez różnych, utalentowanych ludzi. W ten sposób pomaga w monitorowaniu IR w czasie rzeczywistym. Narzędzie oferuje API, z którego może korzystać zespół IT. W połączeniu z innym oprogramowaniem TheHive może monitorować do stu zmiennych na raz – dzięki czemu każdy atak jest natychmiast wykrywany, a reakcja na incydent(Incident Response) zaczyna się szybko. Więcej informacji tutaj(More information here) .

Powyższe wyjaśnia w skrócie reagowanie na incydenty, przedstawia sześć etapów reagowania na incydenty i wymienia trzy narzędzia pomocne w radzeniu sobie z incydentami. Jeśli masz coś do dodania, zrób to w sekcji komentarzy poniżej.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Jestem profesjonalnym recenzentem i zwiększającym produktywność. Uwielbiam spędzać czas online, grając w gry wideo, odkrywając nowe rzeczy i pomagając ludziom w ich potrzebach technologicznych. Mam pewne doświadczenie z konsolą Xbox i od 2009 roku pomagam klientom dbać o bezpieczeństwo ich systemów.



Related posts