Что такое реагирование на инциденты? ИК этапы и бесплатное программное обеспечение с открытым исходным кодом

Текущий возраст суперкомпьютеров в наших карманах. Однако, несмотря на использование лучших средств безопасности, преступники продолжают атаковать онлайн-ресурсы. В этой статье мы познакомимся с Реагированием на инциденты (IR) , объясним различные этапы IR, а затем перечислим три бесплатных программ с открытым исходным кодом, которые помогают с IR.

Что такое реагирование на инциденты

Что такое Инцидент ? Это может быть киберпреступник или любое вредоносное ПО, захватившее ваш компьютер. Вы не должны игнорировать IR, потому что это может случиться с кем угодно. Если вы думаете, что вас это не затронет, вы можете быть правы. Но ненадолго, потому что нет никакой гарантии, что что-либо подключено к Интернету как таковое. Любой артефакт может стать мошенником и установить какое-либо вредоносное ПО или позволить киберпреступнику получить прямой доступ к вашим данным.

У вас должен быть Шаблон ответа об инциденте, чтобы вы могли реагировать в случае атаки. Другими словами, IR не относится к IF , а касается КОГДА и КАК в области информатики. ,

Реагирование на инциденты также относится к стихийным бедствиям. Вы знаете, что все правительства и люди готовы к любой беде. Они не могут себе представить, что они всегда в безопасности. В таком естественном инциденте правительство, армия и множество неправительственных организаций (НПО). Кроме того, вы также не можете позволить себе не обращать внимания на реагирование на инциденты (IR) в ИТ.

По сути, IR означает быть готовым к кибератаке и остановить ее до того, как она причинит какой-либо вред.

Реагирование на инциденты — шесть этапов

Большинство ИТ-гуру утверждают, что существует шесть этапов реагирования на инциденты. Некоторые другие держат это в 5. Но шесть хороши, поскольку их легче объяснить. Вот этапы IR, которые должны быть в центре внимания при планировании шаблона реагирования на инциденты.

  1. подготовка
  2. Удостоверение личности
  3. политика сдерживания
  4. искоренение
  5. Восстановление и
  6. Уроки выучены

1] Реагирование на инцидент — подготовка

Вы должны быть готовы выявлять любые кибератаки и бороться с ними. Это означает, что у вас должен быть план. Это также должно включать людей с определенными навыками. Сюда могут входить люди из внешних организаций, если вам не хватает талантов в вашей компании. Лучше иметь шаблон IR, в котором прописано, что делать в случае кибератаки. Вы можете создать его самостоятельно или загрузить из Интернета. В Интернете доступно множество шаблонов реагирования на инциденты. Но лучше задействовать вашу ИТ-команду с помощью шаблона, поскольку они лучше знают о состоянии вашей сети.

2] IR — идентификация

Это относится к выявлению трафика вашей деловой сети на предмет любых нарушений. Если вы обнаружите какие-либо аномалии, начните действовать согласно вашему IR плану. Возможно, вы уже установили оборудование и программное обеспечение для защиты от атак.

3] ИК — сдерживание

Основной целью третьего процесса является сдерживание воздействия атаки. Здесь сдерживание означает уменьшение воздействия и предотвращение кибератаки, прежде чем она может что-либо повредить.

В содержании ответа об инциденте указываются как краткосрочные, так и долгосрочные планы (при условии, что у вас есть шаблон или план противодействия инцидентам).

4] ИК — ликвидация

Искоренение на шести этапах реагирования на инциденты означает восстановление сети, на которую повлияла атака. Это может быть так же просто, как изображение сети, хранящееся на отдельном сервере, который не подключен к какой-либо сети или Интернету. Может использоваться для восстановления сети.

5] ИК — восстановление

Пятый этап реагирования на инциденты — очистка сети для удаления всего, что могло остаться после уничтожения. Это также относится к возвращению сети к жизни. На этом этапе вы все еще будете следить за любой ненормальной активностью в сети.

6] Реагирование на инциденты — извлеченные уроки

Последний этап шести этапов реагирования на инциденты состоит в том, чтобы изучить инцидент и записать вещи, которые были виноваты. Люди часто пропускают этот этап, но необходимо узнать, что пошло не так и как этого можно избежать в будущем.

Программное обеспечение с открытым исходным кодом для управления реагированием на инциденты

1] CimSweep — это набор инструментов без агента, который поможет вам в реагировании на инциденты. Вы также можете сделать это удаленно, если не можете присутствовать там, где это произошло. Этот пакет содержит инструменты для идентификации угроз и удаленного реагирования. Он также предлагает инструменты судебной экспертизы, которые помогут вам проверить журналы событий, службы, активные процессы и т. Д. Подробнее здесь.

2] GRR Rapid Response Tool доступен на GitHub и помогает вам выполнять различные проверки в вашей сети (дома или в офисе), чтобы определить наличие уязвимостей. Он имеет инструменты для анализа памяти в реальном времени, поиска в реестре и т. Д. Он построен на Python, поэтому совместим со всеми ОС Windows — XP и более поздними версиями, включая Windows 10. Проверьте это на Github.

3] TheHive — еще один бесплатный инструмент реагирования на инциденты с открытым исходным кодом. Это позволяет работать с командой. Командная работа облегчает противодействие кибератакам, поскольку работа (обязанности) смягчается для разных, талантливых людей. Таким образом, это помогает в режиме реального времени мониторинга ИК. Инструмент предлагает API, который может использовать ИТ-команда. При использовании с другим программным обеспечением TheHive может одновременно отслеживать до ста переменных — так что любая атака сразу обнаруживается, и реагирование на инциденты начинается быстро. Больше информации здесь.

Выше кратко поясняется Реагирование на инциденты, рассматриваются шесть этапов Реагирования на инциденты и указываются три инструмента для помощи в работе с Инцидентами. Если вам есть что добавить, пожалуйста, сделайте это в разделе комментариев ниже.

Оцените статью
TechArks.Ru
Добавить комментарий