Súčasný vek máme superpočítače v našich vreckách. Napriek tomu, že používajú najlepšie bezpečnostné nástroje, zločinci neustále útočia na online zdroje. Tento príspevok vám predstavuje reakciu na incidenty (IR)^{(Incident Response (IR))} , vysvetľuje rôzne fázy IR a potom uvádza tri bezplatný softvér s otvoreným zdrojovým kódom, ktorý pomáha s IR.

Čo je to reakcia na incident

REAKCIA NA UDALOSŤ

Čo je to incident ? Môže to byť počítačový zločinec alebo akýkoľvek malvér, ktorý ovládne váš počítač. IR by ste nemali ignorovať, pretože sa to môže stať každému. Ak si myslíte, že sa vás to nedotkne, možno máte pravdu. Nie však nadlho, pretože neexistuje žiadna záruka na nič pripojené k internetu^(Internet) ako takému. Akýkoľvek artefakt sa môže stať nečestným a nainštalovať nejaký malvér alebo umožniť kyberzločincovi priamy prístup k vašim údajom.

Mali by ste mať šablónu reakcie na incident^{(Incident Response Template)} , aby ste mohli reagovať v prípade útoku. Inými slovami, IR nie je o AK,^(IF,) ale týka sa KEDY^(WHEN) a AKO^(HOW) v informačnej vede.

Incident Response sa vzťahuje aj na prírodné katastrofy. Viete, že všetky vlády a ľudia sú pripravení na akúkoľvek katastrofu. Nemôžu si dovoliť predstaviť si, že sú vždy v bezpečí. Pri takejto prírodnej udalosti vláda, armáda a množstvo mimovládnych organizácií ( MVO^(NGOs) ). Podobne^(Likewise) si ani vy nemôžete dovoliť prehliadať reakciu na incidenty^{(Incident Response)} (IR) v IT.

IR v podstate znamená byť pripravený na kybernetický útok a zastaviť ho skôr, ako spôsobí škodu.

Reakcia na incident – šesť etáp

Väčšina IT guruov^{(IT Gurus)} tvrdí, že existuje šesť stupňov reakcie na incident^{(Incident Response)} . Niektorí iní to držia na 5. Ale šesť je dobrých, pretože sa ľahšie vysvetľujú. Tu sú fázy IR, na ktoré by ste sa mali zamerať pri plánovaní šablóny reakcie na incident .^{(Incident Response)}

Príprava
Identifikácia
Zadržiavanie
Eradikácia
Obnova a
Ponaučenie

1] Reakcia na incident – príprava^{(1] Incident Response – Preparation)}

Musíte byť pripravení odhaliť a riešiť akýkoľvek kybernetický útok. To znamená, že by ste mali mať plán. Mal by zahŕňať aj ľudí s určitými zručnosťami. Môže zahŕňať ľudí z externých organizácií, ak vám chýba talent vo vašej spoločnosti. Je lepšie mať IR šablónu, ktorá vysvetľuje, čo robiť v prípade kybernetického útoku. Môžete si ho vytvoriť sami alebo si ho stiahnuť z internetu^(Internet) . Na internete^(Internet) je k dispozícii veľa šablón reakcie na incidenty^{(Incident Response)} . Je však lepšie zapojiť váš IT tím do šablóny, pretože vie lepšie o podmienkach vašej siete.

2] IR – Identifikácia^{(2] IR – Identification)}

Týka sa to identifikácie prevádzky vašej obchodnej siete z hľadiska akýchkoľvek nezrovnalostí. Ak nájdete nejaké anomálie, začnite konať podľa svojho plánu IR. Možno ste už umiestnili bezpečnostné vybavenie a softvér, aby ste zabránili útokom.

3] IR – Zadržiavanie^{(3] IR – Containment)}

Hlavným cieľom tretieho procesu je obmedziť dopad útoku. Obsahovať tu znamená znížiť dopad a zabrániť kybernetickému útoku skôr, ako môže čokoľvek poškodiť.

Zamedzenie reakcie na incident^{(Incident Response)} označuje krátkodobé aj dlhodobé plány (za predpokladu, že máte šablónu alebo plán na predchádzanie incidentom).

4] IR – Eradikácia^{(4] IR – Eradication)}

Eradikácia v šiestich fázach Incident Response znamená obnovenie siete, ktorá bola napadnutá útokom. Môže to byť také jednoduché ako obraz siete uložený na samostatnom serveri, ktorý nie je pripojený k žiadnej sieti alebo internetu^(Internet) . Môže sa použiť na obnovenie siete.

5] IR – Obnova^{(5] IR – Recovery)}

Piatou fázou reakcie na incidenty^{(Incident Response)} je vyčistenie siete, aby sa odstránilo všetko, čo tu mohlo zostať po odstránení. Vzťahuje sa to aj na oživenie siete. V tomto bode by ste stále monitorovali akúkoľvek abnormálnu aktivitu v sieti.

6] Reakcia na incident – získané poznatky^{(6] Incident Response – Lessons Learned)}

Posledná fáza zo šiestich fáz Incident Response je o skúmaní incidentu a zaznamenávaní vecí, ktoré boli na vine. Ľudia túto fázu často vynechávajú, ale je potrebné sa naučiť, čo sa pokazilo a ako sa tomu v budúcnosti môžete vyhnúť.

Softvér s otvoreným zdrojovým kódom^{(Open Source Software)} na správu odozvy na incidenty^{(Incident Response)}

1] CimSweep je sada nástrojov bez agentov, ktoré vám pomôžu s reakciou na incidenty^{(Incident Response)} . Môžete to urobiť aj na diaľku, ak nemôžete byť prítomní na mieste, kde sa to stalo. Tento balík obsahuje nástroje na identifikáciu hrozieb a vzdialenú odozvu. Ponúka tiež forenzné nástroje, ktoré vám pomôžu skontrolovať protokoly udalostí, služby a aktívne procesy atď. Viac podrobností tu^{(More details here)} .

2] Nástroj GRR Rapid Response Tool^{(2] GRR Rapid Response Tool)} je k dispozícii na GitHub a pomáha vám vykonávať rôzne kontroly vo vašej sieti ( doma^(Home) alebo kancelária^(Office) ), aby ste zistili, či existujú nejaké slabé miesta. Má nástroje na analýzu pamäte v reálnom čase, vyhľadávanie v registroch atď. Je zabudovaný v jazyku Python^(Python) , takže je kompatibilný so všetkými OS Windows – XP^{(Windows OS – XP)} a novšími verziami, vrátane Windows 10. Pozrite si to na Github^{(Check it out on Github)} .

3] TheHive je ďalší bezplatný nástroj na odozvu na incidenty s otvoreným zdrojom. ^{(Incident Response)}Umožňuje prácu v tíme. Tímová práca uľahčuje boj proti kybernetickým útokom, keďže práca (povinnosti) sa obmedzuje na rôznych talentovaných ľudí. Pomáha tak pri monitorovaní IR v reálnom čase. Nástroj ponúka API, ktoré môže IT tím použiť. Pri použití s iným softvérom môže TheHive monitorovať až sto premenných naraz – takže každý útok je okamžite zistený a reakcia na incident^{(Incident Response)} začne rýchlo. Viac informácií tu^{(More information here)} .

Vyššie uvedené stručne vysvetľuje Reakciu na incidenty, kontroluje šesť stupňov Reakcie na incidenty a vymenúva tri nástroje na pomoc pri riešení incidentov. Ak máte čo pridať, urobte tak v sekcii komentárov nižšie.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age is of sυperсomputers in our pockets. Howeνer, despite using the best security tools, crіminals keeр on attacking online resources. This post is to intrоduсe уou to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

INCIDENT RESPONSE

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

Preparation
Identification
Containment
Eradication
Recovery, and
Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Teodor Ďuriš

About the author

Som počítačový inžinier s viac ako 10-ročnými skúsenosťami v softvérovom priemysle, konkrétne v Microsoft Office. Napísal som články a návody na rôzne témy týkajúce sa balíka Office vrátane tipov, ako efektívnejšie využívať jeho funkcie, trikov na zvládnutie bežných kancelárskych úloh a podobne. Moje schopnosti spisovateľa zo mňa tiež robia vynikajúci zdroj pre ostatných, ktorí sa chcú dozvedieť o Office alebo len potrebujú rýchlu radu.

Vysvetlenie reakcie na incident: Fázy a softvér s otvoreným zdrojom

Čo je to reakcia na incident

Reakcia na incident – šesť etáp

Softvér s otvoreným zdrojovým kódom^{(Open Source Software)} na správu odozvy na incidenty^{(Incident Response)}

Incident Response Explained: Stages and Open Source software

What is Incident Response

Incident Response – Six Stages

Open Source Software for managing Incident Response

Teodor Ďuriš

About the author

Related posts

OnionShare vám umožňuje bezpečne a anonymne zdieľať súbor akejkoľvek veľkosti

Ako stiahnuť a nainštalovať Git v systéme Windows 10

Ako používať PowerToys Run a Keyboard Manager PowerToy

Softvér na analýzu reči Praat pre Windows 10 pomôže fonetikom

Najlepší klienti Git GUI pre Windows 11/10

OpenDNS Review – bezplatný DNS s rodičovskou kontrolou a rýchlosťou

Ako udržať webové stránky v bezpečí: Hrozby a riešenie slabých miest

Najlepší softvér s otvoreným zdrojom, ktorý by ste mali používať

Obmedzte prístup USB k počítaču so systémom Windows 10 pomocou Ratool

Najlepšie alternatívy GitHub na hosťovanie vášho projektu s otvoreným zdrojovým kódom

Prihlásenie a prihlásenie na LinkedIn Tipy na zabezpečenie a ochranu osobných údajov

TORCS je open source automobilová závodná simulátorová hra pre PC

Ako zakázať triedy a prístup k vymeniteľnému úložisku v systéme Windows 10

Ako používať GoPro ako bezpečnostnú kameru

Kontrola zabezpečenia skúseností s prehliadaním: Ako bezpečný je váš prehliadač?

Článok o zabezpečení internetu a tipy pre používateľov systému Windows

Avidemux Open Source Video Editor – kontrola a stiahnutie

Ako sa vyhnúť sledovaniu prostredníctvom vlastného počítača?

GitAtomic je klient Git GUI pre systémy Windows

Ako resetovať aplikáciu Windows Security v systéme Windows 11/10

Vysvetlenie reakcie na incident: Fázy a softvér s otvoreným zdrojom

Čo je to reakcia na incident

Reakcia na incident – ​​šesť etáp

Softvér s otvoreným zdrojovým kódom(Open Source Software) na správu odozvy na incidenty(Incident Response)

Incident Response Explained: Stages and Open Source software

What is Incident Response

Incident Response – Six Stages

Open Source Software for managing Incident Response

Teodor Ďuriš

About the author

Related posts

OnionShare vám umožňuje bezpečne a anonymne zdieľať súbor akejkoľvek veľkosti

Ako stiahnuť a nainštalovať Git v systéme Windows 10

Ako používať PowerToys Run a Keyboard Manager PowerToy

Softvér na analýzu reči Praat pre Windows 10 pomôže fonetikom

Najlepší klienti Git GUI pre Windows 11/10

OpenDNS Review – bezplatný DNS s rodičovskou kontrolou a rýchlosťou

Ako udržať webové stránky v bezpečí: Hrozby a riešenie slabých miest

Najlepší softvér s otvoreným zdrojom, ktorý by ste mali používať

Obmedzte prístup USB k počítaču so systémom Windows 10 pomocou Ratool

Najlepšie alternatívy GitHub na hosťovanie vášho projektu s otvoreným zdrojovým kódom

Prihlásenie a prihlásenie na LinkedIn Tipy na zabezpečenie a ochranu osobných údajov

TORCS je open source automobilová závodná simulátorová hra pre PC

Ako zakázať triedy a prístup k vymeniteľnému úložisku v systéme Windows 10

Ako používať GoPro ako bezpečnostnú kameru

Kontrola zabezpečenia skúseností s prehliadaním: Ako bezpečný je váš prehliadač?

Článok o zabezpečení internetu a tipy pre používateľov systému Windows

Avidemux Open Source Video Editor – kontrola a stiahnutie

Ako sa vyhnúť sledovaniu prostredníctvom vlastného počítača?

GitAtomic je klient Git GUI pre systémy Windows

Ako resetovať aplikáciu Windows Security v systéme Windows 11/10

Reakcia na incident – šesť etáp

Softvér s otvoreným zdrojovým kódom^{(Open Source Software)} na správu odozvy na incidenty^{(Incident Response)}