Wyjaśnienie reakcji na incydent: etapy i oprogramowanie Open Source
Obecny wiek to superkomputery w naszych kieszeniach. Jednak pomimo korzystania z najlepszych narzędzi bezpieczeństwa przestępcy wciąż atakują zasoby online. Ten post ma przedstawić Ci Incident Response (IR) , wyjaśnić różne etapy IR, a następnie wymienić trzy bezpłatne oprogramowanie open source, które pomaga w IR.
Co to jest reakcja na incydent
Co to jest incydent(Incident) ? Może to być cyberprzestępca lub jakiekolwiek złośliwe oprogramowanie przejmujące Twój komputer. Nie powinieneś ignorować IR, ponieważ może się to zdarzyć każdemu. Jeśli uważasz, że nie zostaniesz dotknięty, możesz mieć rację. Ale nie na długo, ponieważ nie ma gwarancji, że cokolwiek jest podłączone do Internetu(Internet) jako takiego. Każdy artefakt może stać się nieuczciwy i zainstalować złośliwe oprogramowanie lub umożliwić cyberprzestępcy bezpośredni dostęp do Twoich danych.
Powinieneś mieć szablon reakcji na incydent(Incident Response Template) , aby móc odpowiedzieć w przypadku ataku. Innymi słowy, IR nie dotyczy JEŻELI,(IF,) ale KIEDY(WHEN) i JAK(HOW) w informatyce.
Reagowanie na incydenty(Incident Response) dotyczy również klęsk żywiołowych. Wiesz, że wszystkie rządy i ludzie są przygotowani na każdą katastrofę. Nie mogą sobie pozwolić na wyobrażanie sobie, że zawsze są bezpieczni. W takim naturalnym zdarzeniu rząd, wojsko i mnóstwo organizacji pozarządowych ( NGO(NGOs) ). Podobnie(Likewise) nie możesz sobie pozwolić na przeoczenie Incident Response (IR) w IT.
Zasadniczo IR oznacza gotowość do cyberataku i powstrzymanie go, zanim wyrządzi jakiekolwiek szkody.
Reakcja na incydent — sześć etapów
Większość guru IT(IT Gurus) twierdzi, że istnieje sześć etapów reagowania(Incident Response) na incydenty . Inni trzymają go na 5. Ale sześć jest dobrych, ponieważ łatwiej je wytłumaczyć. Oto etapy IR, na które należy zwrócić uwagę podczas planowania szablonu reakcji na incydent .(Incident Response)
- Przygotowanie
- Identyfikacja
- Powstrzymywanie
- Likwidacja
- Odzyskiwanie i
- Zdobyta wiedza
1] Reakcja na incydent – przygotowanie(1] Incident Response – Preparation)
Musisz być przygotowany na wykrycie i radzenie sobie z każdym cyberatakiem. To znaczy, że powinieneś mieć plan. Powinna również obejmować osoby o określonych umiejętnościach. Może obejmować osoby z organizacji zewnętrznych, jeśli brakuje Ci talentów w Twojej firmie. Lepiej mieć szablon IR, który określa, co zrobić w przypadku ataku cybernetycznego. Możesz utworzyć je samodzielnie lub pobrać z Internetu(Internet) . W Internecie(Internet) dostępnych jest wiele szablonów reagowania(Incident Response) na incydenty . Ale lepiej jest zaangażować swój zespół IT w szablon, ponieważ wiedzą lepiej o warunkach Twojej sieci.
2] IR – Identyfikacja(2] IR – Identification)
Odnosi się to do identyfikowania ruchu sieciowego Twojej firmy pod kątem wszelkich nieprawidłowości. Jeśli znajdziesz jakieś anomalie, zacznij działać zgodnie ze swoim planem IR. Być może już umieściłeś sprzęt i oprogramowanie zabezpieczające, aby powstrzymać ataki.
3] IR – Powstrzymywanie(3] IR – Containment)
Głównym celem trzeciego procesu jest powstrzymanie wpływu ataku. W tym przypadku zawieranie oznacza zmniejszenie wpływu i zapobieganie cyberatakom, zanim zdoła cokolwiek uszkodzić.
Powstrzymywanie reakcji na incydenty(Incident Response) wskazuje zarówno na plany krótko-, jak i długoterminowe (zakładając, że masz szablon lub plan przeciwdziałania incydentom).
4] IR – Zwalczanie(4] IR – Eradication)
Eliminacja, w sześciu etapach Incident Response, oznacza przywrócenie sieci, która została dotknięta atakiem. Może to być tak proste, jak obraz sieci przechowywany na oddzielnym serwerze, który nie jest połączony z żadną siecią ani Internetem(Internet) . Może służyć do przywracania sieci.
5] IR – Odzyskiwanie(5] IR – Recovery)
Piątym etapem Incident Response jest oczyszczenie sieci w celu usunięcia wszystkiego, co mogło pozostać po usunięciu. Odnosi się to również do przywrócenia sieci do życia. W tym momencie nadal będziesz monitorować każdą nienormalną aktywność w sieci.
6] Reakcja na incydent – wyciągnięte wnioski(6] Incident Response – Lessons Learned)
Ostatnim etapem sześciu etapów reagowania na incydenty jest przyjrzenie się incydencie i zanotowanie przyczyn, które były przyczyną jego winy. Ludzie często pomijają ten etap, ale konieczne jest, aby dowiedzieć się, co poszło nie tak i jak można tego uniknąć w przyszłości.
Oprogramowanie Open Source(Open Source Software) do zarządzania reagowaniem na incydenty(Incident Response)
1] CimSweep to bezagentowy zestaw narzędzi, który pomaga w reagowaniu(Incident Response) na incydenty . Możesz to zrobić również zdalnie, jeśli nie możesz być obecny w miejscu, w którym to się stało. Ten pakiet zawiera narzędzia do identyfikacji zagrożeń i zdalnego reagowania. Oferuje również narzędzia kryminalistyczne, które pomagają sprawdzać dzienniki zdarzeń, usługi, aktywne procesy itp. Więcej szczegółów znajdziesz tutaj(More details here) .
2] Narzędzie GRR Rapid Response Tool(2] GRR Rapid Response Tool) jest dostępne w serwisie GitHub(GitHub) i pomaga w przeprowadzaniu różnych testów w sieci (w domu(Home) lub biurze(Office) ), aby sprawdzić, czy nie ma żadnych luk w zabezpieczeniach. Posiada narzędzia do analizy pamięci w czasie rzeczywistym, przeszukiwania rejestru itp. Jest zbudowany w Pythonie(Python) , więc jest kompatybilny ze wszystkimi systemami operacyjnymi Windows – XP(Windows OS – XP) i nowszymi wersjami, w tym Windows 10. Sprawdź to na Github(Check it out on Github) .
3] TheHive to kolejne bezpłatne narzędzie typu open source do reagowania na incydenty . (Incident Response)Umożliwia pracę w zespole. Praca zespołowa ułatwia przeciwdziałanie cyberatakom, ponieważ praca (obowiązki) są ograniczane przez różnych, utalentowanych ludzi. W ten sposób pomaga w monitorowaniu IR w czasie rzeczywistym. Narzędzie oferuje API, z którego może korzystać zespół IT. W połączeniu z innym oprogramowaniem TheHive może monitorować do stu zmiennych na raz – dzięki czemu każdy atak jest natychmiast wykrywany, a reakcja na incydent(Incident Response) zaczyna się szybko. Więcej informacji tutaj(More information here) .
Powyższe wyjaśnia w skrócie reagowanie na incydenty, przedstawia sześć etapów reagowania na incydenty i wymienia trzy narzędzia pomocne w radzeniu sobie z incydentami. Jeśli masz coś do dodania, zrób to w sekcji komentarzy poniżej.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)
Related posts
OnionShare umożliwia bezpieczne i anonimowe udostępnianie plików o dowolnym rozmiarze
Jak pobrać i zainstalować Git w systemie Windows 10
Jak korzystać z PowerToys Run i Keyboard Manager PowerToy
Oprogramowanie do analizy mowy Praat dla systemu Windows 10 pomoże fonetykom
Najlepsi klienci Git GUI dla Windows 11/10
Jak używać i dodawać konta Work/School do aplikacji Microsoft Authenticator
Blokuj ikony pulpitu lub aplikacje chroniące hasłem w systemie Windows — DeskLock
Jak wyłączyć powiadomienia dotyczące bezpieczeństwa i konserwacji w systemie Windows 11/10?
Jak wyłączyć klasy magazynu wymiennego i dostęp w systemie Windows 10?
Twój administrator IT wyłączył Zabezpieczenia systemu Windows
Jak korzystać z Sandboxie w systemie Windows 11/10?
Konwertuj potencjalnie niebezpieczne pliki PDF, dokumenty i obrazy na bezpieczne pliki
Skanuj w poszukiwaniu otwartych portów i oceń bezpieczeństwo swojego systemu za pomocą Nmap
Jak używać GoPro jako kamery bezpieczeństwa
Tiny Security Suite pomaga szyfrować, niszczyć i chronić pliki na komputerze
Co to jest plik Gitignore na GitHub i jak łatwo go utworzyć
Sprawdzanie bezpieczeństwa przeglądania: Jak bezpieczna jest Twoja przeglądarka?
Najlepsze bezpłatne oprogramowanie Open Source Audio Editor dla systemu Windows 11/10
TORCS to symulator wyścigów samochodowych typu Open Source na PC
Avidemux Open Source Video Editor — przegląd i pobieranie