Az incidensre adott válasz magyarázata: Színpadok és nyílt forráskódú szoftver

A jelenlegi kor a szuperszámítógépek zsebében van. A legjobb biztonsági eszközök használata ellenére azonban a bűnözők továbbra is támadják az online forrásokat. Ez a bejegyzés bemutatja az incidensreakciót (IR)(Incident Response (IR)) , elmagyarázza az IR különböző szakaszait, majd felsorol három ingyenes nyílt forráskódú szoftvert, amelyek segítik az IR-t.

Mi az incidensreagálás

ESEMÉNY VÁLASZ

Mi az incidens(Incident) ? Lehet, hogy kiberbűnöző vagy bármilyen rosszindulatú program veszi át a számítógépét. Nem szabad figyelmen kívül hagyni az IR-t, mert bárkivel megtörténhet. Ha úgy gondolja, hogy ez nem érinti, igaza lehet. De nem sokáig, mert nincs garancia arra, hogy bármi is csatlakozik az internethez(Internet) . Az esetlegesen előforduló műtermékek csalókává válhatnak, és rosszindulatú programokat telepíthetnek, vagy lehetővé teszik egy kiberbűnözők számára, hogy közvetlenül hozzáférjenek az Ön adataihoz.

Rendelkeznie kell egy Incident Response Template -vel , hogy támadás esetén reagálni tudjon. Más szóval, az IR nem a HA-ról szól,(IF,) hanem az információtudomány MIKOR(WHEN) és HOGYAN(HOW) kérdésével foglalkozik.

Az incidensekre való reagálás(Incident Response) a természeti katasztrófákra is vonatkozik. Tudja, hogy minden kormány és nép felkészült, ha bármilyen katasztrófa bekövetkezik. Nem engedhetik meg maguknak, hogy mindig biztonságban legyenek. Egy ilyen természetes eseményben a kormány, a hadsereg és rengeteg nem kormányzati szervezet ( NGO(NGOs) ). Hasonlóképpen(Likewise) , Ön sem engedheti meg magának, hogy figyelmen kívül hagyja az incidensreakciót(Incident Response) (IR) az IT területén.

Alapvetően az IR azt jelenti, hogy készen kell állni egy kibertámadásra, és le kell állítani, mielőtt az bármiféle kárt okozna.

Az incidensre adott válasz – hat szakasz

A legtöbb IT-guru azt állítja, hogy az (IT Gurus)incidensekre adott válaszadásnak(Incident Response) hat szakasza van . Vannak, akik 5-nél tartják. De a hat jó, mert könnyebb elmagyarázni. Itt vannak azok az IR szakaszok, amelyekre fókuszálni kell az incidensreakciós(Incident Response) sablon tervezése során.

  1. Készítmény
  2. Azonosítás
  3. Elzárás
  4. Felszámolás
  5. Helyreállítás, és
  6. Tanulságok

1] Eseményreagálás – Előkészület(1] Incident Response – Preparation)

Fel kell készülnie minden kibertámadás észlelésére és kezelésére. Ez azt jelenti, hogy tervet kell készítenie. Tartalmaznia kell bizonyos képességekkel rendelkező embereket is. Külső szervezetekből származó emberek is lehetnek benne, ha Ön elmarad a tehetségtől a cégében. Jobb, ha van egy infravörös sablon, amely leírja, mit kell tenni számítógépes támadás esetén. Létrehozhat egyet saját maga, vagy letölthet egyet az internetről(Internet) . Az Interneten(Internet) számos incidensreagálási(Incident Response) sablon található . De jobb, ha az informatikai csapatot bevonja a sablonnal, mivel ők jobban ismerik a hálózat feltételeit.

2] IR – Azonosítás(2] IR – Identification)

Ez az üzleti hálózati forgalom azonosítására vonatkozik az esetleges szabálytalanságok miatt. Ha bármilyen rendellenességet talál, kezdjen el az IR-terve szerint cselekedni. Lehetséges, hogy már telepített biztonsági berendezéseket és szoftvereket a támadások távol tartására.

3] IR – Elzárás(3] IR – Containment)

A harmadik folyamat fő célja a támadás hatásának megfékezése. Itt a visszatartás azt jelenti, hogy csökkenteni kell a hatást, és megelőzni a kibertámadást, mielőtt az bármit is károsítana.

Az incidensre adott válasz(Incident Response) korlátozása rövid és hosszú távú terveket is jelez (feltételezve, hogy van sablon vagy terve az incidensek kezelésére).

4] IR – Felszámolás(4] IR – Eradication)

A felszámolás az Incident Response hat szakaszában a támadás által érintett hálózat helyreállítását jelenti. Ez olyan egyszerű lehet, mint a hálózat képét egy külön szerveren tárolva, amely nem csatlakozik semmilyen hálózathoz vagy internethez(Internet) . Használható a hálózat visszaállítására.

5] IR – Helyreállítás(5] IR – Recovery)

Az Incident Response(Incident Response) ötödik lépése a hálózat megtisztítása, hogy eltávolítsunk mindent, ami a felszámolás után hátramaradt. A hálózat életre keltésére is utal. Ezen a ponton továbbra is figyelnie kell minden abnormális tevékenységet a hálózaton.

6] Incidens Response – Lessons Learned(6] Incident Response – Lessons Learned)

Az Incident Response hat szakaszának utolsó szakasza az incidens megvizsgálásáról és a hibás dolgok feljegyzéséről szól. Az emberek gyakran kihagyják ezt a szakaszt, de meg kell tanulni, hogy mi ment rosszul, és hogyan kerülheti el a jövőben.

Nyílt forráskódú szoftver az (Open Source Software)incidensekre adott válaszok(Incident Response) kezelésére

1] A CimSweep(1] CimSweep) egy ügynök nélküli eszközkészlet, amely segít az incidensekre adott válaszadásban(Incident Response) . Távolról is megteheti, ha nem tud jelen lenni azon a helyen, ahol történt. Ez a csomag tartalmazza a fenyegetés azonosítására és a távoli reagálásra szolgáló eszközöket. Emellett kriminalisztikai eszközöket is kínál, amelyek segítségével ellenőrizheti az eseménynaplókat, szolgáltatásokat és aktív folyamatokat stb. További részletek itt(More details here) .

2] A GRR Rapid Response Tool(2] GRR Rapid Response Tool) elérhető a GitHubon(GitHub) , és segít különböző ellenőrzések végrehajtásában a hálózaton ( otthoni(Home) vagy irodai(Office) ) annak megállapítására, hogy vannak-e sebezhető pontok. Eszközei vannak a valós idejű memóriaelemzéshez, a rendszerleíró adatbázisban való kereséshez stb. Pythonba(Python) építették, így kompatibilis az összes Windows operációs rendszerrel – XP(Windows OS – XP) és újabb verziókkal, beleértve a Windows 10 -et is. Tekintse meg a Githubon(Check it out on Github) .

3] A TheHive(3] TheHive) egy újabb nyílt forráskódú ingyenes Incident Response eszköz. Lehetővé teszi a csapatmunkát. A csapatmunka megkönnyíti a kibertámadások elleni küzdelmet, mivel a munka (kötelezettségek) mérséklődik a különböző, tehetséges emberek számára. Így segít az IR valós idejű monitorozásában. Az eszköz API-t kínál, amelyet az IT-csapat használhat. Más szoftverekkel együtt használva a TheHive egyszerre akár száz változót is képes figyelni – így minden támadás azonnal észlelhető, és az incidensekre adott válasz(Incident Response) gyorsan megindul. További információ itt(More information here) .

A fentiek röviden elmagyarázzák az incidensreagálást, megvizsgálják az incidensreagálás hat szakaszát, és megneveznek három eszközt, amelyek segítséget nyújtanak az incidensek kezeléséhez. Ha van hozzáfűznivalója, kérjük, tegye meg az alábbi megjegyzések részben.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Professzionális értékelő és termelékenységnövelő vagyok. Szeretek online videojátékokkal tölteni az időt, új dolgokat felfedezni, és segíteni az embereknek a technológiai igényeik kielégítésében. Van némi tapasztalatom az Xbox-szal kapcsolatban, és 2009 óta segítek az ügyfeleknek rendszereik biztonságában.



Related posts