Tapahtumaan reagoinnin selitys: Vaiheet ja avoimen lähdekoodin ohjelmistot

Nykyinen aika on supertietokoneiden taskussamme. Huolimatta parhaista suojaustyökaluista, rikolliset hyökkäävät jatkuvasti verkkoresursseihin. Tämän viestin tarkoituksena on esitellä sinulle Incident Response (IR) , selittää IR:n eri vaiheet ja luetella sitten kolme ilmaista avoimen lähdekoodin ohjelmistoa, jotka auttavat IR:ssä.

Mikä on tapausvastaus

TAPAHTUMAN VASTAUS

Mikä on tapaus(Incident) ? Se voi olla verkkorikollinen tai mikä tahansa haittaohjelma, joka valtaa tietokoneesi. IR:tä ei pidä sivuuttaa, koska se voi tapahtua kenelle tahansa. Jos luulet, ettei se vaikuta sinuun, saatat olla oikeassa. Mutta ei kauaa, koska ei ole takeita siitä, että mitään Internetiin(Internet) liitettäisiin sellaisenaan. Kaikki siellä olevat esineet voivat mennä huijareiksi ja asentaa haittaohjelmia tai antaa kyberrikollisen päästä suoraan tietoihisi.

Sinulla tulee olla tapausvastausmalli(Incident Response Template) , jotta voit vastata hyökkäyksen sattuessa. Toisin sanoen IR ei koske IF:ää,(IF,) vaan se koskee tietotieteen MILLOIN(WHEN) ja MITEN .(HOW)

Tapahtumavalvonta(Incident Response) koskee myös luonnonkatastrofeja. Tiedät, että kaikki hallitukset ja ihmiset ovat valmiita, kun mikä tahansa katastrofi iskee. Heillä ei ole varaa kuvitella olevansa aina turvassa. Tällaisessa luonnollisessa tapahtumassa hallitus, armeija ja monet kansalaisjärjestöt ( kansalaisjärjestöt(NGOs) ). Samoin(Likewise) sinulla ei ole varaa sivuuttaa tapausvastausta(Incident Response) (IR) IT:ssä.

Pohjimmiltaan IR tarkoittaa sitä, että olet valmis kyberhyökkäykseen ja pysäytä se ennen kuin se vahingoittaa.

Tapahtumareagointi – kuusi vaihetta

Useimmat IT-gurut(IT Gurus) väittävät, että tapausvastauksessa on kuusi vaihetta(Incident Response) . Jotkut muut pitävät sen arvossa 5. Mutta kuusi on hyvä, koska ne on helpompi selittää. Tässä ovat IR-vaiheet, jotka tulee pitää huomion kohteena, kun suunnittelet tapausvastausmallia(Incident Response) .

  1. Valmistautuminen
  2. Henkilöllisyystodistus
  3. Suojaus
  4. Hävittäminen
  5. Toipuminen ja
  6. Opittua

1] Tapahtumaan reagointi – valmistelu(1] Incident Response – Preparation)

Sinun on oltava valmis havaitsemaan ja käsittelemään kaikki kyberhyökkäykset. Tämä tarkoittaa, että sinulla pitäisi olla suunnitelma. Sen tulisi sisältää myös ihmisiä, joilla on tietyt taidot. Se voi sisältää ihmisiä ulkoisista organisaatioista, jos et ole yrityksesi osaajia. On parempi, että sinulla on IR-malli, jossa kerrotaan, mitä tehdä kyberhyökkäyshyökkäyksen sattuessa. Voit luoda sellaisen itse tai ladata sen Internetistä(Internet) . Internetissä(Internet) on saatavilla useita tapausvastausmalleja(Incident Response) . Mutta on parempi ottaa IT-tiimi mukaan malliin, koska he tietävät paremmin verkkosi ehdot.

2] IR – Tunnistus(2] IR – Identification)

Tämä viittaa yrityksesi verkkoliikenteen tunnistamiseen sääntöjenvastaisuuksien varalta. Jos löydät poikkeavuuksia, ala toimia IR-suunnitelmasi mukaisesti. Olet saattanut jo asentaa suojalaitteet ja ohjelmistot estääksesi hyökkäykset.

3] IR – Suojaus(3] IR – Containment)

Kolmannen prosessin päätavoite on hillitä hyökkäyksen vaikutusta. Tässä rajoittaminen tarkoittaa vaikutuksen vähentämistä ja kyberhyökkäyksen estämistä ennen kuin se voi vahingoittaa mitään.

Containment of Incident Response osoittaa sekä lyhyen että pitkän aikavälin suunnitelmat (olettaen, että sinulla on malli tai suunnitelma tapausten torjumiseksi).

4] IR – Hävittäminen(4] IR – Eradication)

Hävittäminen, Incident Responsen kuudessa vaiheessa, tarkoittaa hyökkäyksen kohteena olevan verkon palauttamista. Se voi olla niinkin yksinkertainen kuin verkon kuva, joka on tallennettu erilliseen palvelimeen, joka ei ole yhteydessä verkkoon tai Internetiin(Internet) . Sitä voidaan käyttää verkon palauttamiseen.

5] IR – palautus(5] IR – Recovery)

Incident Response -toiminnon(Incident Response) viides vaihe on puhdistaa verkko ja poistaa kaikki, mikä on voinut jäädä jäljelle hävittämisen jälkeen. Se viittaa myös verkon elvyttämiseen. Tässä vaiheessa valvot edelleen kaikkia epänormaalia toimintaa verkossa.

6] Tapahtumareagointi – Opitut kokemukset(6] Incident Response – Lessons Learned)

Incident Response -ohjelman kuuden vaiheen viimeisessä vaiheessa tarkastellaan tapausta ja merkitään muistiin vialliset asiat. Ihmiset jättävät usein väliin tämän vaiheen, mutta on välttämätöntä oppia, mikä meni pieleen ja kuinka voit välttää sen tulevaisuudessa.

Avoimen lähdekoodin ohjelmisto (Open Source Software)tapaustoimien(Incident Response) hallintaan

1] CimSweep on agenttiton työkalupaketti, joka auttaa sinua tapaturmien reagoinnissa(Incident Response) . Voit tehdä sen myös etänä, jos et voi olla paikalla, missä se tapahtui. Tämä sarja sisältää työkaluja uhkien tunnistamiseen ja etävastaamiseen. Se tarjoaa myös rikosteknisiä työkaluja, joiden avulla voit tarkistaa tapahtumalokit, palvelut ja aktiiviset prosessit jne. Lisätietoja täältä(More details here) .

2] GRR Rapid Response Tool on saatavilla GitHubissa(GitHub) ja auttaa sinua suorittamaan erilaisia ​​tarkastuksia verkossasi ( koti(Home) tai toimisto(Office) ) nähdäksesi, onko haavoittuvuuksia. Siinä on työkaluja reaaliaikaiseen muistin analysointiin, rekisterihakuun jne. Se on rakennettu Pythonissa(Python) , joten se on yhteensopiva kaikkien Windows-käyttöjärjestelmien – XP(Windows OS – XP) :n ja uudempien versioiden, mukaan lukien Windows 10 :n kanssa. Tarkista se Githubissa(Check it out on Github) .

3] TheHive on jälleen yksi avoimen lähdekoodin ilmainen Incident Response -työkalu. Se mahdollistaa työskentelyn joukkueen kanssa. Ryhmätyö helpottaa kyberhyökkäysten torjuntaa, kun työ (tehtävät) lieventyy erilaisille, lahjakkaille ihmisille. Siten se auttaa IR:n reaaliaikaisessa seurannassa. Työkalu tarjoaa API:n, jota IT-tiimi voi käyttää. Muiden ohjelmistojen kanssa käytettäessä TheHive voi valvoa jopa sataa muuttujaa kerrallaan – jotta kaikki hyökkäykset havaitaan välittömästi ja tapausvastaus(Incident Response) alkaa nopeasti. Lisätietoja täältä(More information here) .

Yllä oleva selittää lyhyesti tapausvastauksen, tarkastelee tapausvastauksen kuusi vaihetta ja nimeää kolme työkalua, jotka auttavat tapausten käsittelyssä. Jos sinulla on jotain lisättävää, tee se alla olevassa kommenttiosassa.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Olen kokenut ohjelmistosuunnittelija, jolla on yli 10 vuoden kokemus käyttäjätilien, perheturvallisuuden ja Google Chrome -tekniikan kehittämisestä ja hallinnasta. Minulla on vahva matematiikan ja tietojenkäsittelytieteen perusta, jonka avulla luon selkeitä, ytimekkäitä kuvauksia taidoistani.



Related posts