Nykyinen aika on supertietokoneiden taskussamme. Huolimatta parhaista suojaustyökaluista, rikolliset hyökkäävät jatkuvasti verkkoresursseihin. Tämän viestin tarkoituksena on esitellä sinulle Incident Response (IR) , selittää IR:n eri vaiheet ja luetella sitten kolme ilmaista avoimen lähdekoodin ohjelmistoa, jotka auttavat IR:ssä.

Mikä on tapausvastaus

Mikä on tapaus^(Incident) ? Se voi olla verkkorikollinen tai mikä tahansa haittaohjelma, joka valtaa tietokoneesi. IR:tä ei pidä sivuuttaa, koska se voi tapahtua kenelle tahansa. Jos luulet, ettei se vaikuta sinuun, saatat olla oikeassa. Mutta ei kauaa, koska ei ole takeita siitä, että mitään Internetiin^(Internet) liitettäisiin sellaisenaan. Kaikki siellä olevat esineet voivat mennä huijareiksi ja asentaa haittaohjelmia tai antaa kyberrikollisen päästä suoraan tietoihisi.

Sinulla tulee olla tapausvastausmalli^{(Incident Response Template)} , jotta voit vastata hyökkäyksen sattuessa. Toisin sanoen IR ei koske IF:ää,^(IF,) vaan se koskee tietotieteen MILLOIN^(WHEN) ja MITEN .^(HOW)

Tapahtumavalvonta^{(Incident Response)} koskee myös luonnonkatastrofeja. Tiedät, että kaikki hallitukset ja ihmiset ovat valmiita, kun mikä tahansa katastrofi iskee. Heillä ei ole varaa kuvitella olevansa aina turvassa. Tällaisessa luonnollisessa tapahtumassa hallitus, armeija ja monet kansalaisjärjestöt ( kansalaisjärjestöt^(NGOs) ). Samoin^(Likewise) sinulla ei ole varaa sivuuttaa tapausvastausta^{(Incident Response)} (IR) IT:ssä.

Pohjimmiltaan IR tarkoittaa sitä, että olet valmis kyberhyökkäykseen ja pysäytä se ennen kuin se vahingoittaa.

Tapahtumareagointi – kuusi vaihetta

Useimmat IT-gurut^{(IT Gurus)} väittävät, että tapausvastauksessa on kuusi vaihetta^{(Incident Response)} . Jotkut muut pitävät sen arvossa 5. Mutta kuusi on hyvä, koska ne on helpompi selittää. Tässä ovat IR-vaiheet, jotka tulee pitää huomion kohteena, kun suunnittelet tapausvastausmallia^{(Incident Response)} .

1. Valmistautuminen
2. Henkilöllisyystodistus
3. Suojaus
4. Hävittäminen
5. Toipuminen ja
6. Opittua

1] Tapahtumaan reagointi – valmistelu^{(1] Incident Response – Preparation)}

Sinun on oltava valmis havaitsemaan ja käsittelemään kaikki kyberhyökkäykset. Tämä tarkoittaa, että sinulla pitäisi olla suunnitelma. Sen tulisi sisältää myös ihmisiä, joilla on tietyt taidot. Se voi sisältää ihmisiä ulkoisista organisaatioista, jos et ole yrityksesi osaajia. On parempi, että sinulla on IR-malli, jossa kerrotaan, mitä tehdä kyberhyökkäyshyökkäyksen sattuessa. Voit luoda sellaisen itse tai ladata sen Internetistä^(Internet) . Internetissä^(Internet) on saatavilla useita tapausvastausmalleja^{(Incident Response)} . Mutta on parempi ottaa IT-tiimi mukaan malliin, koska he tietävät paremmin verkkosi ehdot.

2] IR – Tunnistus^{(2] IR – Identification)}

Tämä viittaa yrityksesi verkkoliikenteen tunnistamiseen sääntöjenvastaisuuksien varalta. Jos löydät poikkeavuuksia, ala toimia IR-suunnitelmasi mukaisesti. Olet saattanut jo asentaa suojalaitteet ja ohjelmistot estääksesi hyökkäykset.

3] IR – Suojaus^{(3] IR – Containment)}

Kolmannen prosessin päätavoite on hillitä hyökkäyksen vaikutusta. Tässä rajoittaminen tarkoittaa vaikutuksen vähentämistä ja kyberhyökkäyksen estämistä ennen kuin se voi vahingoittaa mitään.

Containment of Incident Response osoittaa sekä lyhyen että pitkän aikavälin suunnitelmat (olettaen, että sinulla on malli tai suunnitelma tapausten torjumiseksi).

4] IR – Hävittäminen^{(4] IR – Eradication)}

Hävittäminen, Incident Responsen kuudessa vaiheessa, tarkoittaa hyökkäyksen kohteena olevan verkon palauttamista. Se voi olla niinkin yksinkertainen kuin verkon kuva, joka on tallennettu erilliseen palvelimeen, joka ei ole yhteydessä verkkoon tai Internetiin^(Internet) . Sitä voidaan käyttää verkon palauttamiseen.

5] IR – palautus^{(5] IR – Recovery)}

Incident Response -toiminnon^{(Incident Response)} viides vaihe on puhdistaa verkko ja poistaa kaikki, mikä on voinut jäädä jäljelle hävittämisen jälkeen. Se viittaa myös verkon elvyttämiseen. Tässä vaiheessa valvot edelleen kaikkia epänormaalia toimintaa verkossa.

6] Tapahtumareagointi – Opitut kokemukset^{(6] Incident Response – Lessons Learned)}

Incident Response -ohjelman kuuden vaiheen viimeisessä vaiheessa tarkastellaan tapausta ja merkitään muistiin vialliset asiat. Ihmiset jättävät usein väliin tämän vaiheen, mutta on välttämätöntä oppia, mikä meni pieleen ja kuinka voit välttää sen tulevaisuudessa.

Avoimen lähdekoodin ohjelmisto ^{(Open Source Software)}tapaustoimien^{(Incident Response)} hallintaan

1] CimSweep on agenttiton työkalupaketti, joka auttaa sinua tapaturmien reagoinnissa^{(Incident Response)} . Voit tehdä sen myös etänä, jos et voi olla paikalla, missä se tapahtui. Tämä sarja sisältää työkaluja uhkien tunnistamiseen ja etävastaamiseen. Se tarjoaa myös rikosteknisiä työkaluja, joiden avulla voit tarkistaa tapahtumalokit, palvelut ja aktiiviset prosessit jne. Lisätietoja täältä^{(More details here)} .

2] GRR Rapid Response Tool on saatavilla GitHubissa^(GitHub) ja auttaa sinua suorittamaan erilaisia ​​tarkastuksia verkossasi ( koti^(Home) tai toimisto^(Office) ) nähdäksesi, onko haavoittuvuuksia. Siinä on työkaluja reaaliaikaiseen muistin analysointiin, rekisterihakuun jne. Se on rakennettu Pythonissa^(Python) , joten se on yhteensopiva kaikkien Windows-käyttöjärjestelmien – XP^{(Windows OS – XP)} :n ja uudempien versioiden, mukaan lukien Windows 10 :n kanssa. Tarkista se Githubissa^{(Check it out on Github)} .

3] TheHive on jälleen yksi avoimen lähdekoodin ilmainen Incident Response -työkalu. Se mahdollistaa työskentelyn joukkueen kanssa. Ryhmätyö helpottaa kyberhyökkäysten torjuntaa, kun työ (tehtävät) lieventyy erilaisille, lahjakkaille ihmisille. Siten se auttaa IR:n reaaliaikaisessa seurannassa. Työkalu tarjoaa API:n, jota IT-tiimi voi käyttää. Muiden ohjelmistojen kanssa käytettäessä TheHive voi valvoa jopa sataa muuttujaa kerrallaan – jotta kaikki hyökkäykset havaitaan välittömästi ja tapausvastaus^{(Incident Response)} alkaa nopeasti. Lisätietoja täältä^{(More information here)} .

Yllä oleva selittää lyhyesti tapausvastauksen, tarkastelee tapausvastauksen kuusi vaihetta ja nimeää kolme työkalua, jotka auttavat tapausten käsittelyssä. Jos sinulla on jotain lisättävää, tee se alla olevassa kommenttiosassa.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age is of supercomputers in our pockets. Hоwever, despite using the best security tools, criminals keеp on attacking online resources. This post is to intrоducе you to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery, and
6. Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Related posts

• OnionSharen avulla voit jakaa minkä tahansa tiedoston turvallisesti ja nimettömästi

• Kuinka ladata ja asentaa Git Windows 10:ssä

• PowerToys Runin ja Keyboard Managerin PowerToyn käyttäminen

• Praat-puheenanalyysiohjelmisto Windows 10:lle auttaa fonetikoita

• Parhaat Git GUI -asiakkaat Windows 11/10:lle

• LinkedIn-kirjautuminen ja sisäänkirjautuminen Turvallisuus- ja tietosuojavinkit

• Kuinka nollata Windows Security -sovellus Windows 11/10:ssä

• Kuinka välttää, että sinua katsotaan oman tietokoneen kautta?

• Parhaat GitHub-vaihtoehdot avoimen lähdekoodin projektisi isännöintiin

• Muunna mahdollisesti vaaralliset PDF-tiedostot, asiakirjat ja kuvat turvallisiksi tiedostoiksi

• Parhaat ilmaiset avoimen lähdekoodin XMPP-asiakkaat Windows 11/10:lle

• Internet Security -artikkeli ja vinkkejä Windows-käyttäjille

• Ero: Freeware, Free Software, Open Source, Shareware, Trialware jne

• Jaa tiedostoja ja keskustele ystävien kanssa Ares Galaxyn avulla

• Kernel Security Check Failure -virhe Windows 11/10:ssä

• 10 parasta zoomausasetusta turvallisuuden ja yksityisyyden takaamiseksi

• Rogue Security Software tai Scareware: Kuinka tarkistaa, estää, poistaa?

• IT-järjestelmänvalvojasi on poistanut Windowsin suojauksen käytöstä

• Sandboxien käyttäminen Windows 11/10:ssä

• Paras avoimen lähdekoodin ohjelmisto, jota sinun pitäisi käyttää