Сегашната епоха е на суперкомпютри в джобовете ни. Въпреки това, въпреки че използват най-добрите инструменти за сигурност, престъпниците продължават да атакуват онлайн ресурси. Тази публикация има за цел да ви запознае с Incident Response (IR) , да обясни различните етапи на IR и след това да изброи три безплатни софтуера с отворен код, които помагат при IR.

Какво е реакция на инциденти

Какво е Инцидент^(Incident) ? Това може да е киберпрестъпник или някакъв злонамерен софтуер, който завзема вашия компютър. Не бива да пренебрегвате IR, защото може да се случи на всеки. Ако смятате, че няма да бъдете засегнати, може да сте прави. Но не за дълго, защото няма гаранция за нищо свързано с интернет^(Internet) като такова. Всеки артефакт там може да стане измамник и да инсталира някакъв зловреден софтуер или да позволи на киберпрестъпник да получи директен достъп до вашите данни.

Трябва да имате шаблон^{(Incident Response Template)} за реакция при инцидент, за да можете да реагирате в случай на атака. С други думи, IR не е за АКО,^(IF,) а се занимава с КОГА^(WHEN) и КАК^(HOW) на информационната наука.

Реагирането на инциденти^{(Incident Response)} се отнася и за природни бедствия. Знаете, че всички правителства и хора са подготвени, когато се случи някакво бедствие. Те не могат да си позволят да си представят, че винаги са в безопасност. В такъв естествен инцидент правителство, армия и много неправителствени организации ( НПО^(NGOs) ). По същия начин^(Likewise) вие също не можете да си позволите да пренебрегвате реакцията на инциденти^{(Incident Response)} (IR) в ИТ.

По принцип IR означава да сте готови за кибератака и да я спрете, преди да причини някаква вреда.

Реагиране на инциденти – шест етапа

Повечето IT гурута^{(IT Gurus)} твърдят, че има шест етапа на реакция при инциденти^{(Incident Response)} . Някои други го държат на 5. Но шест са добри, тъй като са по-лесни за обяснение. Ето етапите на IR, които трябва да бъдат на фокус, докато планирате шаблон за реакция при инцидент .^{(Incident Response)}

1. Подготовка
2. Идентификация
3. Ограничаване
4. Изкореняване
5. Възстановяване и
6. Поуки

1] Реагиране на инциденти – Подготовка^{(1] Incident Response – Preparation)}

Трябва да сте готови да откриете и да се справите с всяка кибератака. Това означава, че трябва да имате план. Тя трябва да включва и хора с определени умения. Може да включва хора от външни организации, ако не разполагате с талант във вашата компания. По-добре е да имате IR шаблон, който посочва какво да правите в случай на кибератака. Можете да създадете такъв сами или да го изтеглите от Интернет^(Internet) . В Интернет^(Internet) има много шаблони за отговор на инциденти^{(Incident Response)} . Но е по-добре да ангажирате вашия ИТ екип с шаблона, тъй като те знаят по-добре за условията на вашата мрежа.

2] IR – Идентификация^{(2] IR – Identification)}

Това се отнася до идентифициране на трафика на вашата бизнес мрежа за всякакви нередности. Ако откриете някакви аномалии, започнете да действате според вашия IR план. Може вече да сте поставили оборудване за сигурност и софтуер на място, за да предотвратите атаки.

3] IR – Задържане^{(3] IR – Containment)}

Основната цел на третия процес е да овладее въздействието на атаката. Тук ограничаването означава намаляване на въздействието и предотвратяване на кибератаката, преди тя да може да повреди нещо.

Ограничаването на реакцията на инциденти^{(Incident Response)} показва както краткосрочни, така и дългосрочни планове (ако приемем, че имате шаблон или план за противодействие на инциденти).

4] IR – Ерадикация^{(4] IR – Eradication)}

Премахването в шестте етапа на реакцията на инциденти означава възстановяване на мрежата, която е била засегната от атаката. То може да бъде толкова просто, колкото изображението на мрежата, съхранявано на отделен сървър, който не е свързан с никаква мрежа или интернет^(Internet) . Може да се използва за възстановяване на мрежата.

5] IR – Възстановяване^{(5] IR – Recovery)}

Петият етап в реакцията на инциденти^{(Incident Response)} е да се почисти мрежата, за да се премахне всичко, което може да е останало след ликвидирането. Също така се отнася до връщането на мрежата към живот. В този момент все още ще наблюдавате всяка необичайна активност в мрежата.

6] Реагиране на инциденти – извлечени уроци^{(6] Incident Response – Lessons Learned)}

Последният етап от шестте етапа на Реагиране на инциденти е за разглеждане на инцидента и отбелязване на нещата, които са били виновни. Хората често пропускат този етап, но е необходимо да научите какво се обърка и как можете да го избегнете в бъдеще.

Софтуер с отворен код^{(Open Source Software)} за управление на реакцията при инциденти^{(Incident Response)}

1] CimSweep е пакет от инструменти без агент, който ви помага с реакцията при инциденти^{(Incident Response)} . Можете да го направите и дистанционно, ако не можете да присъствате на мястото, където се е случило. Този пакет съдържа инструменти за идентифициране на заплахи и отдалечен отговор. Той също така предлага криминалистични инструменти, които ви помагат да проверявате регистрационни файлове на събития, услуги и активни процеси и т.н. Повече подробности тук^{(More details here)} .

2] Инструментът за бърз отговор на GRR^{(2] GRR Rapid Response Tool)} е наличен в GitHub и ви помага да извършвате различни проверки във вашата мрежа ( дома^(Home) или офиса^(Office) ), за да видите дали има някакви уязвимости. Той има инструменти за анализ на паметта в реално време, търсене в системния регистър и т.н. Изграден е на Python , така че е съвместим с всички ОС Windows – XP^{(Windows OS – XP)} и по-нови версии, включително Windows 10. Вижте го на Github^{(Check it out on Github)} .

3] TheHive е още един безплатен инструмент за реакция при инциденти^{(Incident Response)} с отворен код . Позволява работа с екип. Работата в екип улеснява противодействието на кибератаките, тъй като работата (задълженията) се смекчават на различни, талантливи хора. По този начин помага при наблюдение на IR в реално време. Инструментът предлага API, който ИТ екипът може да използва. Когато се използва с друг софтуер, TheHive може да наблюдава до сто променливи наведнъж – така че всяка атака да бъде открита незабавно и реакцията на инциденти^{(Incident Response)} да започне бързо. Повече информация тук^{(More information here)} .

Горното обяснява накратко реакцията на инциденти, разглежда шестте етапа на реакцията при инциденти и назовава три инструмента за помощ при справяне с инциденти. Ако имате нещо да добавите, моля, направете го в секцията за коментари по-долу.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age iѕ оf supercomputers in our pockets. However, despite using the best security tools, criminals keep on attacking online resources. This pоst is to introduce you to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery, and
6. Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Related posts

• OnionShare ви позволява сигурно и анонимно да споделяте файл с всякакъв размер

• Как да изтеглите и инсталирате Git в Windows 10

• Как да използвате PowerToys Run и Keyboard Manager PowerToy

• Софтуерът за анализ на речта Praat за Windows 10 ще помогне на фонетиците

• Най-добрите Git GUI клиенти за Windows 11/10

• Вашият ИТ администратор е деактивирал защитата на Windows

• Преглед на Bitwarden: Безплатен мениджър на пароли с отворен код за компютър с Windows

• Сканирайте за отворени портове и оценете сигурността на вашата система с Nmap

• Защитата на Windows казва, че няма доставчици на сигурност в Windows 11/10

• Avidemux Video Editor с отворен код – преглед и изтегляне

• Съвети за влизане и влизане в LinkedIn за сигурност и поверителност

• Най-добрият безплатен софтуер за аудио редактор с отворен код за Windows 11/10

• Най-добрите алтернативи на GitHub за хостване на вашия проект с отворен код

• 10 най-добри настройки за мащабиране за сигурност и поверителност

• Clonezilla Live е безплатен софтуер за изображения за Windows за клониране на дискове

• Как да избегнете гледане през собствения си компютър?

• Как да използвате Sandboxie на Windows 11/10

• Seafile: Безплатен самостоятелно хостван софтуер за синхронизиране и споделяне на файлове

• Съвети за потребители на имейл: Защитете и защитете своя имейл акаунт

• Как да използвате GoPro като охранителна камера