Objašnjenje odgovora na incident: faze i softver otvorenog koda

Trenutno doba je superračunala u našim džepovima. Međutim, unatoč korištenju najboljih sigurnosnih alata, kriminalci nastavljaju napadati internetske resurse. Ovaj post treba vas upoznati s odgovorom na incidente (IR)(Incident Response (IR)) , objasniti različite faze IR-a, a zatim navesti tri besplatna softvera otvorenog koda koji pomažu s IR-om.

Što je odgovor na incident

ODGOVOR NA INCIDENT

Što je incident ? To može biti cyber kriminalac ili bilo koji zlonamjerni softver koji preuzima vaše računalo. Ne smijete zanemariti IR jer se to može dogoditi svakome. Ako mislite da to neće utjecati, možda ste u pravu. Ali ne zadugo jer ne postoji jamstvo za bilo što povezano s internetom(Internet) kao takvim. Bilo koji artefakt koji postoji, mogao bi postati lažan i instalirati neki zlonamjerni softver ili dopustiti kibernetičkom kriminalcu izravan pristup vašim podacima.

Trebali biste imati predložak odgovora na incident(Incident Response Template) kako biste mogli odgovoriti u slučaju napada. Drugim riječima, IR se ne bavi IF, već se bavi KADA(WHEN) i KAKO(HOW) informacijske znanosti.

Odgovor na incident(Incident Response) također se odnosi na prirodne katastrofe. Znate da su sve vlade i ljudi spremni kada dođe do bilo kakve katastrofe. Ne mogu si priuštiti zamisliti da su uvijek sigurni. U takvom prirodnom incidentu vlada, vojska i mnoštvo nevladinih organizacija ( NVO(NGOs) ). Isto tako(Likewise) , ni vi ne možete priuštiti da previdite odgovor na incidente(Incident Response) (IR) u IT-u.

U osnovi, IR znači biti spreman za cyber napad i zaustaviti ga prije nego što učini bilo kakvu štetu.

Odgovor na incident – ​​šest faza

Većina IT Gurua(IT Gurus) tvrdi da postoji šest faza odgovora na incidente(Incident Response) . Neki drugi ga drže na 5. Ali šest je dobro jer ih je lakše objasniti. Ovdje su IR faze koje treba držati u fokusu tijekom planiranja predloška odgovora na incident .(Incident Response)

  1. Priprema
  2. Identifikacija
  3. Zadržavanje
  4. Iskorjenjivanje
  5. Oporavak, i
  6. Naučene lekcije

1] Odgovor na incident – ​​priprema(1] Incident Response – Preparation)

Morate biti spremni otkriti svaki cyber napad i nositi se s njim. To znači da biste trebali imati plan. Također bi trebao uključivati ​​ljude s određenim vještinama. Može uključivati ​​ljude iz vanjskih organizacija ako nemate talenta u svojoj tvrtki. Bolje je imati IR predložak koji navodi što učiniti u slučaju cyber napada. Možete ga izraditi sami ili preuzeti s interneta(Internet) . Na Internetu(Internet) su dostupni mnogi predlošci odgovora na incidente(Incident Response) . Ali bolje je angažirati svoj IT tim s predloškom jer oni bolje znaju o uvjetima vaše mreže.

2] IR – Identifikacija(2] IR – Identification)

To se odnosi na identificiranje vašeg poslovnog mrežnog prometa za bilo kakve nepravilnosti. Ako pronađete bilo kakve anomalije, počnite djelovati prema svom IR planu. Možda ste već postavili sigurnosnu opremu i softver kako biste spriječili napade.

3] IR – Zadržavanje(3] IR – Containment)

Glavni cilj trećeg procesa je obuzdati utjecaj napada. Ovdje, sadržavanje znači smanjenje utjecaja i sprječavanje cyber napada prije nego što može oštetiti bilo što.

Obuzdavanje odgovora na incidente(Incident Response) označava i kratkoročne i dugoročne planove (pod pretpostavkom da imate predložak ili plan za suzbijanje incidenata).

4] IR – Iskorjenjivanje(4] IR – Eradication)

Iskorjenjivanje, u šest faza Incident Response, znači obnavljanje mreže koja je bila zahvaćena napadom. To može biti jednostavno poput slike mreže pohranjene na zasebnom poslužitelju koji nije povezan ni s jednom mrežom ili internetom(Internet) . Može se koristiti za vraćanje mreže.

5] IR – Oporavak(5] IR – Recovery)

Peta faza u odgovoru na incidente(Incident Response) je čišćenje mreže kako bi se uklonilo sve što je moglo ostati nakon iskorjenjivanja. Također se odnosi na vraćanje mreže u život. U ovom trenutku i dalje biste nadzirali svaku abnormalnu aktivnost na mreži.

6] Odgovor na incidente – naučene lekcije(6] Incident Response – Lessons Learned)

Posljednja faza od šest faza odgovora na incident odnosi se na proučavanje incidenta i bilježenje stvari koje su bile krive. Ljudi često promašuju ovu fazu, ali potrebno je naučiti što je pošlo po zlu i kako to možete izbjeći u budućnosti.

Softver otvorenog koda(Open Source Software) za upravljanje odgovorom na incidente(Incident Response)

1] CimSweep je paket alata bez agenta koji vam pomaže s odgovorom na incidente(Incident Response) . To možete učiniti i na daljinu ako ne možete biti prisutni na mjestu gdje se to dogodilo. Ovaj paket sadrži alate za identifikaciju prijetnji i daljinski odgovor. Također nudi forenzičke alate koji vam pomažu provjeriti zapisnike događaja, usluge i aktivne procese itd. Više detalja ovdje(More details here) .

2] GRR alat za brzi odgovor(2] GRR Rapid Response Tool) dostupan je na GitHubu(GitHub) i pomaže vam da izvršite različite provjere na vašoj mreži ( kućna(Home) ili uredska(Office) ) kako biste vidjeli postoje li ranjivosti. Ima alate za analizu memorije u stvarnom vremenu, pretraživanje registra itd. Ugrađen je u Python pa je kompatibilan sa svim Windows OS – XP i novijim verzijama, uključujući Windows 10. Provjerite na Githubu(Check it out on Github) .

3] TheHive je još jedan besplatni alat otvorenog koda za odgovor na incidente . (Incident Response)Omogućuje rad s timom. Timski rad olakšava suzbijanje cyber napada jer se rad (dužnosti) ublažuje različitim, talentiranim ljudima. Dakle, pomaže u nadzoru IR-a u stvarnom vremenu. Alat nudi API koji IT tim može koristiti. Kada se koristi s drugim softverom, TheHive može pratiti do stotinu varijabli odjednom – tako da se svaki napad odmah otkrije, a odgovor na incident(Incident Response) brzo počinje. Više informacija ovdje(More information here) .

Gore navedeno ukratko objašnjava odgovor na incidente, provjerava šest faza odgovora na incidente i imenuje tri alata za pomoć u rješavanju incidenata. Ako imate što dodati, učinite to u odjeljku za komentare ispod.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



Tea Lovren

About the author

Ja sam profesionalni recenzent i pojačivač produktivnosti. Volim provoditi vrijeme online igrajući video igrice, istražujući nove stvari i pomažući ljudima u njihovim tehnološkim potrebama. Imam neko iskustvo s Xboxom i pomažem korisnicima da očuvaju svoje sustave sigurnima od 2009.


Related posts