Hændelsesrespons forklaret: Stadier og Open Source-software

Den nuværende alder er med supercomputere i vores lommer. Men på trods af at de bruger de bedste sikkerhedsværktøjer, bliver kriminelle ved med at angribe online ressourcer. Dette indlæg er for at introducere dig til Incident Response (IR) , forklare de forskellige stadier af IR og derefter liste tre gratis open source-software, der hjælper med IR.

Hvad er Incident Response

HÆNDELSESREAKTION

Hvad er en hændelse(Incident) ? Det kan være en cyberkriminel eller anden malware, der overtager din computer. Du bør ikke ignorere IR, fordi det kan ske for alle. Hvis du tror, ​​du ikke vil blive påvirket, har du måske ret. Men ikke så længe, ​​for der er ingen garanti for, at noget er forbundet med internettet(Internet) som sådan. Enhver artefakt der kan blive useriøs og installere noget malware eller tillade en cyberkriminel at få direkte adgang til dine data.

Du bør have en Incident Response Template , så du kan reagere i tilfælde af et angreb. Med andre ord handler IR ikke om HVIS,(IF,) men det handler om HVORNÅR(WHEN) og HVORDAN(HOW) af informationsvidenskaben.

Incident Response gælder også for naturkatastrofer. Du ved, at alle regeringer og folk er forberedte, når en katastrofe rammer. De har ikke råd til at forestille sig, at de altid er sikre. I sådan en naturlig hændelse, regering, hær og masser af ikke-statslige organisationer ( NGO'er(NGOs) ). Ligeledes(Likewise) har du heller ikke råd til at overse Incident Response (IR) i IT.

Grundlæggende betyder IR at være klar til et cyberangreb og stoppe det, før det gør nogen skade.

Hændelsesreaktion – seks stadier

De fleste IT-guruer(IT Gurus) hævder, at der er seks stadier af Incident Response . Nogle andre holder den på 5. Men seks er gode, da de er nemmere at forklare. Her er de IR-stadier, der bør holdes i fokus, mens du planlægger en Incident Response -skabelon.

  1. Forberedelse
  2. Identifikation
  3. Indeslutning
  4. Udryddelse
  5. Genopretning, og
  6. Erfaringer

1] Incident Response – Forberedelse(1] Incident Response – Preparation)

Du skal være forberedt på at opdage og håndtere ethvert cyberangreb. Det betyder, at du skal have en plan. Det bør også omfatte personer med visse færdigheder. Det kan omfatte personer fra eksterne organisationer, hvis du mangler talent i din virksomhed. Det er bedre at have en IR-skabelon, der beskriver, hvad man skal gøre i tilfælde af et cyberangreb. Du kan oprette en selv eller downloade en fra internettet(Internet) . Der er mange Incident Response- skabeloner tilgængelige på internettet(Internet) . Men det er bedre at engagere dit it-team med skabelonen, da de ved bedre om forholdene i dit netværk.

2] IR – Identifikation(2] IR – Identification)

Dette refererer til at identificere din virksomheds netværkstrafik for eventuelle uregelmæssigheder. Hvis du finder nogen uregelmæssigheder, skal du begynde at handle i henhold til din IR-plan. Du har måske allerede installeret sikkerhedsudstyr og software for at holde angreb væk.

3] IR – Indeslutning(3] IR – Containment)

Hovedformålet med den tredje proces er at begrænse angrebet. Her betyder indeslutning at reducere påvirkningen og forhindre cyberangrebet, før det kan skade noget.

Indeslutning af hændelsesrespons(Incident Response) angiver både kort- og langsigtede planer (forudsat at du har en skabelon eller plan til at imødegå hændelser).

4] IR – Udryddelse(4] IR – Eradication)

Udryddelse, i Incident Responses seks faser, betyder at genoprette det netværk, der blev ramt af angrebet. Det kan være så simpelt som netværkets billede gemt på en separat server, der ikke er forbundet til noget netværk eller internet . Det kan bruges til at gendanne netværket.

5] IR – Gendannelse(5] IR – Recovery)

Den femte fase i Incident Response er at rense netværket for at fjerne alt, der måtte have efterladt sig efter udryddelse. Det refererer også til at bringe netværket til live igen. På dette tidspunkt vil du stadig overvåge enhver unormal aktivitet på netværket.

6] Incident Response – Lessons Learned

Den sidste fase af Incident Responses seks faser handler om at se nærmere på hændelsen og notere de ting, der var skyld i. Folk går ofte glip af denne fase, men det er nødvendigt at lære, hvad der gik galt, og hvordan du kan undgå det i fremtiden.

Open Source-software til styring af Incident Response

1] CimSweep er en agentfri suite af værktøjer, der hjælper dig med Incident Response . Du kan også gøre det eksternt, hvis du ikke kan være til stede på det sted, hvor det skete. Denne suite indeholder værktøjer til trusselsidentifikation og fjernrespons. Det tilbyder også retsmedicinske værktøjer, der hjælper dig med at tjekke hændelseslogfiler, tjenester og aktive processer osv. Flere detaljer her(More details here) .

2] GRR Rapid Response Tool er tilgængeligt på GitHub og hjælper dig med at udføre forskellige kontroller på dit netværk ( hjemme(Home) eller kontor(Office) ) for at se, om der er nogle sårbarheder. Den har værktøjer til hukommelsesanalyse i realtid, søgning i registreringsdatabasen osv. Den er bygget i Python , så den er kompatibel med alle Windows OS – XP og nyere versioner, inklusive Windows 10. Tjek det ud på Github(Check it out on Github) .

3] TheHive er endnu et open source gratis Incident Response - værktøj. Det giver mulighed for at arbejde med et team. Teamwork gør det lettere at imødegå cyberangreb, da arbejdet (pligterne) begrænses til forskellige, talentfulde mennesker. Det hjælper således med realtidsovervågning af IR. Værktøjet tilbyder en API, som IT-teamet kan bruge. Når det bruges sammen med anden software, kan TheHive overvåge op til hundrede variabler ad gangen - så ethvert angreb straks opdages, og Incident Response begynder hurtigt. Mere information her(More information here) .

Ovenstående forklarer Incident Response kort, tjekker de seks stadier af Incident Response ud og nævner tre værktøjer til hjælp til at håndtere Incidents. Hvis du har noget at tilføje, bedes du gøre det i kommentarfeltet nedenfor.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Jeg er professionel computertekniker og har over 10 års erfaring inden for området. Jeg har specialiseret mig i Windows 7 og Windows Apps udvikling, samt Cool Websites design. Jeg er ekstremt vidende og erfaren på området, og vil være et værdifuldt aktiv for enhver organisation, der ønsker at vokse deres forretning.



Related posts