Обяснение на реакцията при инциденти: етапи и софтуер с отворен код

Сегашната епоха е на суперкомпютри в джобовете ни. Въпреки това, въпреки че използват най-добрите инструменти за сигурност, престъпниците продължават да атакуват онлайн ресурси. Тази публикация има за цел да ви запознае с Incident Response (IR) , да обясни различните етапи на IR и след това да изброи три безплатни софтуера с отворен код, които помагат при IR.

Какво е реакция на инциденти

РЕАКЦИЯ НА ИНЦИДЕНТ

Какво е Инцидент(Incident) ? Това може да е киберпрестъпник или някакъв злонамерен софтуер, който завзема вашия компютър. Не бива да пренебрегвате IR, защото може да се случи на всеки. Ако смятате, че няма да бъдете засегнати, може да сте прави. Но не за дълго, защото няма гаранция за нищо свързано с интернет(Internet) като такова. Всеки артефакт там може да стане измамник и да инсталира някакъв зловреден софтуер или да позволи на киберпрестъпник да получи директен достъп до вашите данни.

Трябва да имате шаблон(Incident Response Template) за реакция при инцидент, за да можете да реагирате в случай на атака. С други думи, IR не е за АКО,(IF,) а се занимава с КОГА(WHEN) и КАК(HOW) на информационната наука.

Реагирането на инциденти(Incident Response) се отнася и за природни бедствия. Знаете, че всички правителства и хора са подготвени, когато се случи някакво бедствие. Те не могат да си позволят да си представят, че винаги са в безопасност. В такъв естествен инцидент правителство, армия и много неправителствени организации ( НПО(NGOs) ). По същия начин(Likewise) вие също не можете да си позволите да пренебрегвате реакцията на инциденти(Incident Response) (IR) в ИТ.

По принцип IR означава да сте готови за кибератака и да я спрете, преди да причини някаква вреда.

Реагиране на инциденти – шест етапа

Повечето IT гурута(IT Gurus) твърдят, че има шест етапа на реакция при инциденти(Incident Response) . Някои други го държат на 5. Но шест са добри, тъй като са по-лесни за обяснение. Ето етапите на IR, които трябва да бъдат на фокус, докато планирате шаблон за реакция при инцидент .(Incident Response)

  1. Подготовка
  2. Идентификация
  3. Ограничаване
  4. Изкореняване
  5. Възстановяване и
  6. Поуки

1] Реагиране на инциденти – Подготовка(1] Incident Response – Preparation)

Трябва да сте готови да откриете и да се справите с всяка кибератака. Това означава, че трябва да имате план. Тя трябва да включва и хора с определени умения. Може да включва хора от външни организации, ако не разполагате с талант във вашата компания. По-добре е да имате IR шаблон, който посочва какво да правите в случай на кибератака. Можете да създадете такъв сами или да го изтеглите от Интернет(Internet) . В Интернет(Internet) има много шаблони за отговор на инциденти(Incident Response) . Но е по-добре да ангажирате вашия ИТ екип с шаблона, тъй като те знаят по-добре за условията на вашата мрежа.

2] IR – Идентификация(2] IR – Identification)

Това се отнася до идентифициране на трафика на вашата бизнес мрежа за всякакви нередности. Ако откриете някакви аномалии, започнете да действате според вашия IR план. Може вече да сте поставили оборудване за сигурност и софтуер на място, за да предотвратите атаки.

3] IR – Задържане(3] IR – Containment)

Основната цел на третия процес е да овладее въздействието на атаката. Тук ограничаването означава намаляване на въздействието и предотвратяване на кибератаката, преди тя да може да повреди нещо.

Ограничаването на реакцията на инциденти(Incident Response) показва както краткосрочни, така и дългосрочни планове (ако приемем, че имате шаблон или план за противодействие на инциденти).

4] IR – Ерадикация(4] IR – Eradication)

Премахването в шестте етапа на реакцията на инциденти означава възстановяване на мрежата, която е била засегната от атаката. То може да бъде толкова просто, колкото изображението на мрежата, съхранявано на отделен сървър, който не е свързан с никаква мрежа или интернет(Internet) . Може да се използва за възстановяване на мрежата.

5] IR – Възстановяване(5] IR – Recovery)

Петият етап в реакцията на инциденти(Incident Response) е да се почисти мрежата, за да се премахне всичко, което може да е останало след ликвидирането. Също така се отнася до връщането на мрежата към живот. В този момент все още ще наблюдавате всяка необичайна активност в мрежата.

6] Реагиране на инциденти – извлечени уроци(6] Incident Response – Lessons Learned)

Последният етап от шестте етапа на Реагиране на инциденти е за разглеждане на инцидента и отбелязване на нещата, които са били виновни. Хората често пропускат този етап, но е необходимо да научите какво се обърка и как можете да го избегнете в бъдеще.

Софтуер с отворен код(Open Source Software) за управление на реакцията при инциденти(Incident Response)

1] CimSweep е пакет от инструменти без агент, който ви помага с реакцията при инциденти(Incident Response) . Можете да го направите и дистанционно, ако не можете да присъствате на мястото, където се е случило. Този пакет съдържа инструменти за идентифициране на заплахи и отдалечен отговор. Той също така предлага криминалистични инструменти, които ви помагат да проверявате регистрационни файлове на събития, услуги и активни процеси и т.н. Повече подробности тук(More details here) .

2] Инструментът за бърз отговор на GRR(2] GRR Rapid Response Tool) е наличен в GitHub и ви помага да извършвате различни проверки във вашата мрежа ( дома(Home) или офиса(Office) ), за да видите дали има някакви уязвимости. Той има инструменти за анализ на паметта в реално време, търсене в системния регистър и т.н. Изграден е на Python , така че е съвместим с всички ОС Windows – XP(Windows OS – XP) и по-нови версии, включително Windows 10. Вижте го на Github(Check it out on Github) .

3] TheHive е още един безплатен инструмент за реакция при инциденти(Incident Response) с отворен код . Позволява работа с екип. Работата в екип улеснява противодействието на кибератаките, тъй като работата (задълженията) се смекчават на различни, талантливи хора. По този начин помага при наблюдение на IR в реално време. Инструментът предлага API, който ИТ екипът може да използва. Когато се използва с друг софтуер, TheHive може да наблюдава до сто променливи наведнъж – така че всяка атака да бъде открита незабавно и реакцията на инциденти(Incident Response) да започне бързо. Повече информация тук(More information here) .

Горното обяснява накратко реакцията на инциденти, разглежда шестте етапа на реакцията при инциденти и назовава три инструмента за помощ при справяне с инциденти. Ако имате нещо да добавите, моля, направете го в секцията за коментари по-долу.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Телефонът е един от най-универсалните инструменти, които човек може да притежава и използва. Позволено е на хората да общуват с други, да имат достъп до интернет и да правят много други неща. С устройство iPhone или Android можете дори да гледате видеоклипове и да изтегляте музика. Телефонът също е чудесен за правене на снимки, сърфиране в мрежата, слушане на музика и др.



Related posts