Obecny wiek to superkomputery w naszych kieszeniach. Jednak pomimo korzystania z najlepszych narzędzi bezpieczeństwa przestępcy wciąż atakują zasoby online. Ten post ma przedstawić Ci Incident Response (IR) , wyjaśnić różne etapy IR, a następnie wymienić trzy bezpłatne oprogramowanie open source, które pomaga w IR.

Co to jest reakcja na incydent

Co to jest incydent^(Incident) ? Może to być cyberprzestępca lub jakiekolwiek złośliwe oprogramowanie przejmujące Twój komputer. Nie powinieneś ignorować IR, ponieważ może się to zdarzyć każdemu. Jeśli uważasz, że nie zostaniesz dotknięty, możesz mieć rację. Ale nie na długo, ponieważ nie ma gwarancji, że cokolwiek jest podłączone do Internetu^(Internet) jako takiego. Każdy artefakt może stać się nieuczciwy i zainstalować złośliwe oprogramowanie lub umożliwić cyberprzestępcy bezpośredni dostęp do Twoich danych.

Powinieneś mieć szablon reakcji na incydent^{(Incident Response Template)} , aby móc odpowiedzieć w przypadku ataku. Innymi słowy, IR nie dotyczy JEŻELI,^(IF,) ale KIEDY^(WHEN) i JAK^(HOW) w informatyce.

Reagowanie na incydenty^{(Incident Response)} dotyczy również klęsk żywiołowych. Wiesz, że wszystkie rządy i ludzie są przygotowani na każdą katastrofę. Nie mogą sobie pozwolić na wyobrażanie sobie, że zawsze są bezpieczni. W takim naturalnym zdarzeniu rząd, wojsko i mnóstwo organizacji pozarządowych ( NGO^(NGOs) ). Podobnie^(Likewise) nie możesz sobie pozwolić na przeoczenie Incident Response (IR) w IT.

Zasadniczo IR oznacza gotowość do cyberataku i powstrzymanie go, zanim wyrządzi jakiekolwiek szkody.

Reakcja na incydent — sześć etapów

Większość guru IT^{(IT Gurus)} twierdzi, że istnieje sześć etapów reagowania^{(Incident Response)} na incydenty . Inni trzymają go na 5. Ale sześć jest dobrych, ponieważ łatwiej je wytłumaczyć. Oto etapy IR, na które należy zwrócić uwagę podczas planowania szablonu reakcji na incydent .^{(Incident Response)}

1. Przygotowanie
2. Identyfikacja
3. Powstrzymywanie
4. Likwidacja
5. Odzyskiwanie i
6. Zdobyta wiedza

1] Reakcja na incydent – ​​przygotowanie^{(1] Incident Response – Preparation)}

Musisz być przygotowany na wykrycie i radzenie sobie z każdym cyberatakiem. To znaczy, że powinieneś mieć plan. Powinna również obejmować osoby o określonych umiejętnościach. Może obejmować osoby z organizacji zewnętrznych, jeśli brakuje Ci talentów w Twojej firmie. Lepiej mieć szablon IR, który określa, co zrobić w przypadku ataku cybernetycznego. Możesz utworzyć je samodzielnie lub pobrać z Internetu^(Internet) . W Internecie^(Internet) dostępnych jest wiele szablonów reagowania^{(Incident Response)} na incydenty . Ale lepiej jest zaangażować swój zespół IT w szablon, ponieważ wiedzą lepiej o warunkach Twojej sieci.

2] IR – Identyfikacja^{(2] IR – Identification)}

Odnosi się to do identyfikowania ruchu sieciowego Twojej firmy pod kątem wszelkich nieprawidłowości. Jeśli znajdziesz jakieś anomalie, zacznij działać zgodnie ze swoim planem IR. Być może już umieściłeś sprzęt i oprogramowanie zabezpieczające, aby powstrzymać ataki.

3] IR – Powstrzymywanie^{(3] IR – Containment)}

Głównym celem trzeciego procesu jest powstrzymanie wpływu ataku. W tym przypadku zawieranie oznacza zmniejszenie wpływu i zapobieganie cyberatakom, zanim zdoła cokolwiek uszkodzić.

Powstrzymywanie reakcji na incydenty^{(Incident Response)} wskazuje zarówno na plany krótko-, jak i długoterminowe (zakładając, że masz szablon lub plan przeciwdziałania incydentom).

4] IR – Zwalczanie^{(4] IR – Eradication)}

Eliminacja, w sześciu etapach Incident Response, oznacza przywrócenie sieci, która została dotknięta atakiem. Może to być tak proste, jak obraz sieci przechowywany na oddzielnym serwerze, który nie jest połączony z żadną siecią ani Internetem^(Internet) . Może służyć do przywracania sieci.

5] IR – Odzyskiwanie^{(5] IR – Recovery)}

Piątym etapem Incident Response jest oczyszczenie sieci w celu usunięcia wszystkiego, co mogło pozostać po usunięciu. Odnosi się to również do przywrócenia sieci do życia. W tym momencie nadal będziesz monitorować każdą nienormalną aktywność w sieci.

6] Reakcja na incydent – ​​wyciągnięte wnioski^{(6] Incident Response – Lessons Learned)}

Ostatnim etapem sześciu etapów reagowania na incydenty jest przyjrzenie się incydencie i zanotowanie przyczyn, które były przyczyną jego winy. Ludzie często pomijają ten etap, ale konieczne jest, aby dowiedzieć się, co poszło nie tak i jak można tego uniknąć w przyszłości.

Oprogramowanie Open Source^{(Open Source Software)} do zarządzania reagowaniem na incydenty^{(Incident Response)}

1] CimSweep to bezagentowy zestaw narzędzi, który pomaga w reagowaniu^{(Incident Response)} na incydenty . Możesz to zrobić również zdalnie, jeśli nie możesz być obecny w miejscu, w którym to się stało. Ten pakiet zawiera narzędzia do identyfikacji zagrożeń i zdalnego reagowania. Oferuje również narzędzia kryminalistyczne, które pomagają sprawdzać dzienniki zdarzeń, usługi, aktywne procesy itp. Więcej szczegółów znajdziesz tutaj^{(More details here)} .

2] Narzędzie GRR Rapid Response Tool^{(2] GRR Rapid Response Tool)} jest dostępne w serwisie GitHub^(GitHub) i pomaga w przeprowadzaniu różnych testów w sieci (w domu^(Home) lub biurze^(Office) ), aby sprawdzić, czy nie ma żadnych luk w zabezpieczeniach. Posiada narzędzia do analizy pamięci w czasie rzeczywistym, przeszukiwania rejestru itp. Jest zbudowany w Pythonie^(Python) , więc jest kompatybilny ze wszystkimi systemami operacyjnymi Windows – XP^{(Windows OS – XP)} i nowszymi wersjami, w tym Windows 10. Sprawdź to na Github^{(Check it out on Github)} .

3] TheHive to kolejne bezpłatne narzędzie typu open source do reagowania na incydenty . ^{(Incident Response)}Umożliwia pracę w zespole. Praca zespołowa ułatwia przeciwdziałanie cyberatakom, ponieważ praca (obowiązki) są ograniczane przez różnych, utalentowanych ludzi. W ten sposób pomaga w monitorowaniu IR w czasie rzeczywistym. Narzędzie oferuje API, z którego może korzystać zespół IT. W połączeniu z innym oprogramowaniem TheHive może monitorować do stu zmiennych na raz – dzięki czemu każdy atak jest natychmiast wykrywany, a reakcja na incydent^{(Incident Response)} zaczyna się szybko. Więcej informacji tutaj^{(More information here)} .

Powyższe wyjaśnia w skrócie reagowanie na incydenty, przedstawia sześć etapów reagowania na incydenty i wymienia trzy narzędzia pomocne w radzeniu sobie z incydentami. Jeśli masz coś do dodania, zrób to w sekcji komentarzy poniżej.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age is of supercomputers in our pockets. However, despite using the beѕt securіtу tools, criminals kеep on attаcking online resources. This post is to intrоduсe you to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery, and
6. Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Related posts

• OnionShare umożliwia bezpieczne i anonimowe udostępnianie plików o dowolnym rozmiarze

• Jak pobrać i zainstalować Git w systemie Windows 10

• Jak korzystać z PowerToys Run i Keyboard Manager PowerToy

• Oprogramowanie do analizy mowy Praat dla systemu Windows 10 pomoże fonetykom

• Najlepsi klienci Git GUI dla Windows 11/10

• Jak używać i dodawać konta Work/School do aplikacji Microsoft Authenticator

• Blokuj ikony pulpitu lub aplikacje chroniące hasłem w systemie Windows — DeskLock

• Jak wyłączyć powiadomienia dotyczące bezpieczeństwa i konserwacji w systemie Windows 11/10?

• Jak wyłączyć klasy magazynu wymiennego i dostęp w systemie Windows 10?

• Twój administrator IT wyłączył Zabezpieczenia systemu Windows

• Jak korzystać z Sandboxie w systemie Windows 11/10?

• Konwertuj potencjalnie niebezpieczne pliki PDF, dokumenty i obrazy na bezpieczne pliki

• Skanuj w poszukiwaniu otwartych portów i oceń bezpieczeństwo swojego systemu za pomocą Nmap

• Jak używać GoPro jako kamery bezpieczeństwa

• Tiny Security Suite pomaga szyfrować, niszczyć i chronić pliki na komputerze

• Co to jest plik Gitignore na GitHub i jak łatwo go utworzyć

• Sprawdzanie bezpieczeństwa przeglądania: Jak bezpieczna jest Twoja przeglądarka?

• Najlepsze bezpłatne oprogramowanie Open Source Audio Editor dla systemu Windows 11/10

• TORCS to symulator wyścigów samochodowych typu Open Source na PC

• Avidemux Open Source Video Editor — przegląd i pobieranie