Объяснение реагирования на инцидент: этапы и программное обеспечение с открытым исходным кодом

Текущая эпоха суперкомпьютеров в наших карманах. Однако, несмотря на использование лучших средств защиты, злоумышленники продолжают атаковать онлайн-ресурсы. Этот пост знакомит вас с реагированием на инциденты (IR)(Incident Response (IR)) , объясняет различные этапы IR, а затем перечисляет три бесплатных программного обеспечения с открытым исходным кодом, которые помогают с IR.

Что такое реакция на инцидент

РЕАГИРОВАНИЕ НА ИНЦИДЕНТ

Что такое Инцидент(Incident) ? Это может быть киберпреступник или любое вредоносное ПО, захватившее ваш компьютер. Вы не должны игнорировать ИР, потому что это может случиться с каждым. Если вы думаете, что вас это не коснется, возможно, вы правы. Но ненадолго, потому что нет никаких гарантий, что что-либо связано с Интернетом(Internet) как таковым. Любой артефакт может стать мошенническим и установить вредоносное ПО или позволить киберпреступнику получить прямой доступ к вашим данным.

У вас должен быть шаблон реагирования на инцидент(Incident Response Template) , чтобы вы могли реагировать в случае атаки. Другими словами, ИО(IR) касается не ЕСЛИ,(IF,) а того, КОГДА(WHEN) и КАК(HOW) информатики.

Реагирование на инциденты(Incident Response) также применяется к стихийным бедствиям. Вы знаете, что все правительства и люди готовы к любому бедствию. Они не могут позволить себе представить, что они всегда в безопасности. В таком естественном происшествии участвуют правительство, армия и множество неправительственных организаций ( НПО(NGOs) ). Точно так же(Likewise) вы не можете позволить себе игнорировать реагирование на инциденты(Incident Response) (IR) в ИТ.

По сути, IR означает быть готовым к кибератаке и остановить ее до того, как она причинит какой-либо вред.

Реагирование на инциденты – шесть этапов

Большинство ИТ-гуру(IT Gurus) утверждают, что существует шесть этапов реагирования на инциденты(Incident Response) . Некоторые другие сохраняют его на уровне 5. Но шесть хороши, поскольку их легче объяснить. Вот этапы IR, на которые следует обращать внимание при планировании шаблона реагирования на инциденты .(Incident Response)

  1. Подготовка
  2. Идентификация
  3. Сдерживание
  4. Искоренение
  5. восстановление и
  6. Уроки выучены

1] Реагирование на инцидент — подготовка(1] Incident Response – Preparation)

Вы должны быть готовы обнаружить и отразить любую кибератаку. Это означает, что у вас должен быть план. В нее также должны входить люди с определенными навыками. В нее могут входить люди из внешних организаций, если в вашей компании не хватает таланта. Лучше иметь шаблон IR, в котором указано, что делать в случае кибератаки. Вы можете создать его самостоятельно или скачать из Интернета(Internet) . В Интернете(Internet) доступно множество шаблонов реагирования на инциденты(Incident Response) . Но лучше привлечь к работе с шаблоном вашу ИТ-команду, так как они лучше знают условия вашей сети.

2] ИК – идентификация(2] IR – Identification)

Это относится к выявлению трафика вашей бизнес-сети на предмет любых нарушений. Если вы обнаружите какие-либо аномалии, начните действовать в соответствии с вашим планом IR. Возможно, вы уже установили защитное оборудование и программное обеспечение для защиты от атак.

3] ИК – сдерживание(3] IR – Containment)

Основной целью третьего процесса является сдерживание воздействия атаки. Здесь содержатся средства, уменьшающие воздействие и предотвращающие кибератаку до того, как она сможет что-либо повредить.

Сдерживание реагирования на инциденты(Incident Response) указывает как на краткосрочные, так и на долгосрочные планы (при условии, что у вас есть шаблон или план противодействия инцидентам).

4] ИК – Искоренение(4] IR – Eradication)

Искоренение на шести этапах реагирования на инциденты означает восстановление сети, пострадавшей от атаки. Это может быть просто сетевое изображение, хранящееся на отдельном сервере, не подключенном ни к какой сети или Интернету(Internet) . Его можно использовать для восстановления сети.

5] ИК – Восстановление(5] IR – Recovery)

Пятый этап реагирования на инциденты(Incident Response) заключается в очистке сети от всего, что могло остаться после ликвидации. Это также относится к возвращению сети к жизни. На этом этапе вы все еще будете отслеживать любую ненормальную активность в сети.

6] Реагирование на инциденты – извлеченные уроки(6] Incident Response – Lessons Learned)

Последний этап из шести этапов реагирования на инциденты заключается в изучении инцидента и выявлении причин, по которым он произошел. Люди часто пропускают этот этап, но необходимо понять, что пошло не так и как этого избежать в будущем.

Программное обеспечение с открытым исходным кодом(Open Source Software) для управления реагированием на инциденты(Incident Response)

1] CimSweep — это безагентный набор инструментов, который поможет вам в реагировании на инциденты(Incident Response) . Вы также можете сделать это удаленно, если вы не можете присутствовать на месте, где это произошло. Этот пакет содержит инструменты для идентификации угроз и удаленного реагирования. Он также предлагает инструменты судебной экспертизы, которые помогут вам проверить журналы событий, службы, активные процессы и т . д. Подробнее здесь(More details here) .

2] Инструмент быстрого реагирования GRR(2] GRR Rapid Response Tool) доступен на GitHub и помогает выполнять различные проверки в вашей сети ( домашней(Home) или офисной(Office) ) на наличие уязвимостей. Он имеет инструменты для анализа памяти в реальном времени, поиска в реестре и т. д. Он построен на Python , поэтому совместим со всеми ОС Windows — XP(Windows OS – XP) и более поздними версиями, включая Windows 10. Проверьте это на Github(Check it out on Github) .

3] TheHive — еще один бесплатный инструмент реагирования на инциденты с(Incident Response) открытым исходным кодом . Позволяет работать в команде. Командная работа облегчает противодействие кибератакам, поскольку работа (обязанности) распределяется между разными талантливыми людьми. Таким образом, это помогает в мониторинге IR в режиме реального времени. Инструмент предлагает API, который может использовать ИТ-команда. При использовании с другим программным обеспечением TheHive может одновременно отслеживать до сотни переменных, так что любая атака будет немедленно обнаружена, а реагирование на инциденты(Incident Response) начнется быстро. Больше информации здесь(More information here) .

Вышеизложенное вкратце объясняет реагирование на инциденты, проверяет шесть этапов реагирования на инциденты и называет три инструмента, которые помогут справиться с инцидентами. Если вам есть что добавить, пожалуйста, сделайте это в разделе комментариев ниже.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Я инженер-программист с более чем 10-летним опытом работы в индустрии Xbox. Я специализируюсь на разработке игр и тестировании безопасности. Я также являюсь опытным обозревателем и работал над проектами для некоторых из самых известных игровых компаний, включая Ubisoft, Microsoft и Sony. В свободное время я люблю играть в видеоигры и смотреть сериалы.



Related posts