Επεξήγηση απόκρισης περιστατικού: Λογισμικό σταδίων και ανοιχτού κώδικα

Η σημερινή εποχή είναι των υπερυπολογιστών στις τσέπες μας. Ωστόσο, παρά τη χρήση των καλύτερων εργαλείων ασφαλείας, οι εγκληματίες συνεχίζουν να επιτίθενται σε διαδικτυακούς πόρους. Αυτή η ανάρτηση έχει σκοπό να σας παρουσιάσει το Incident Response (IR) , να εξηγήσει τα διαφορετικά στάδια του IR και, στη συνέχεια, να παραθέσει τρία δωρεάν λογισμικά ανοιχτού κώδικα που βοηθούν με το IR.

Τι είναι η απόκριση σε περιστατικά

ΑΠΑΝΤΗΣΗ ΣΥΜΒΑΝΤΙΚΟΥ

Τι είναι ένα περιστατικό(Incident) ; Θα μπορούσε να είναι ένας κυβερνοεγκληματίας ή οποιοδήποτε κακόβουλο λογισμικό που καταλαμβάνει τον υπολογιστή σας. Δεν πρέπει να αγνοήσετε το IR γιατί μπορεί να συμβεί σε οποιονδήποτε. Εάν νομίζετε ότι δεν θα επηρεαστείτε, μπορεί να έχετε δίκιο. Αλλά όχι για πολύ, επειδή δεν υπάρχει εγγύηση για οτιδήποτε συνδέεται με το Διαδίκτυο(Internet) ως τέτοιο. Οποιοδήποτε τεχνούργημα εκεί, μπορεί να γίνει αδίστακτο και να εγκαταστήσει κάποιο κακόβουλο λογισμικό ή να επιτρέψει σε έναν εγκληματία του κυβερνοχώρου να έχει άμεση πρόσβαση στα δεδομένα σας.

Θα πρέπει να έχετε ένα πρότυπο απόκρισης περιστατικού(Incident Response Template) ώστε να μπορείτε να απαντάτε σε περίπτωση επίθεσης. Με άλλα λόγια, το IR δεν αφορά το ΑΝ,(IF,) αλλά το ΠΟΤΕ(WHEN) και το ΠΩΣ(HOW) της επιστήμης της πληροφορίας.

Το Incident Response(Incident Response) ισχύει επίσης για φυσικές καταστροφές. Γνωρίζετε ότι όλες οι κυβερνήσεις και οι άνθρωποι είναι προετοιμασμένοι όταν χτυπήσει οποιαδήποτε καταστροφή. Δεν έχουν την πολυτέλεια να φανταστούν ότι είναι πάντα ασφαλείς. Σε ένα τέτοιο φυσικό περιστατικό, κυβέρνηση, στρατός και πολλές μη κυβερνητικές οργανώσεις ( ΜΚΟ(NGOs) ). Ομοίως(Likewise) , δεν έχετε την πολυτέλεια να παραβλέψετε την Απόκριση Συμβάντων(Incident Response) (IR) στην πληροφορική.

Βασικά, IR σημαίνει να είσαι έτοιμος για μια επίθεση στον κυβερνοχώρο και να την σταματήσεις πριν κάνει οποιοδήποτε κακό.

Απόκριση σε περιστατικό – Έξι στάδια

Οι περισσότεροι γκουρού της πληροφορικής(IT Gurus) υποστηρίζουν ότι υπάρχουν έξι στάδια απόκρισης περιστατικού(Incident Response) . Κάποιοι άλλοι το κρατούν στο 5. Αλλά τα έξι είναι καλά καθώς εξηγούνται ευκολότερα. Ακολουθούν τα στάδια υπερύθρων που θα πρέπει να εστιάζονται κατά τον σχεδιασμό ενός προτύπου απόκρισης περιστατικού .(Incident Response)

  1. Παρασκευή
  2. Ταυτοποίηση
  3. Περιορισμός
  4. Εκρίζωση
  5. Ανάκτηση και
  6. Διδάγματα

1] Αντιμετώπιση περιστατικού – Προετοιμασία(1] Incident Response – Preparation)

Πρέπει να είστε προετοιμασμένοι να εντοπίσετε και να αντιμετωπίσετε οποιαδήποτε κυβερνοεπίθεση. Αυτό σημαίνει ότι πρέπει να έχετε ένα σχέδιο. Θα πρέπει επίσης να περιλαμβάνει άτομα με ορισμένες δεξιότητες. Μπορεί να περιλαμβάνει άτομα από εξωτερικούς οργανισμούς, εάν δεν έχετε ταλέντο στην εταιρεία σας. Είναι καλύτερα να έχετε ένα πρότυπο IR που να εξηγεί τι πρέπει να κάνετε σε περίπτωση επίθεσης στον κυβερνοχώρο. Μπορείτε να δημιουργήσετε ένα μόνοι σας ή να το κατεβάσετε από το Διαδίκτυο(Internet) . Υπάρχουν πολλά πρότυπα απόκρισης συμβάντων(Incident Response) διαθέσιμα στο Διαδίκτυο(Internet) . Αλλά είναι καλύτερα να δεσμεύσετε την ομάδα IT σας με το πρότυπο, καθώς γνωρίζουν καλύτερα τις συνθήκες του δικτύου σας.

2] IR – Αναγνώριση(2] IR – Identification)

Αυτό αναφέρεται στον εντοπισμό της κίνησης του δικτύου της επιχείρησής σας για τυχόν παρατυπίες. Εάν βρείτε οποιεσδήποτε ανωμαλίες, αρχίστε να ενεργείτε σύμφωνα με το σχέδιο IR σας. Μπορεί να έχετε ήδη τοποθετήσει εξοπλισμό ασφαλείας και λογισμικό για να κρατάτε μακριά τις επιθέσεις.

3] IR – Συγκράτηση(3] IR – Containment)

Ο κύριος στόχος της τρίτης διαδικασίας είναι να περιοριστεί ο αντίκτυπος της επίθεσης. Εδώ, ο περιορισμός σημαίνει μείωση του αντίκτυπου και αποτροπή της κυβερνοεπίθεσης προτού καταστρέψει οτιδήποτε.

Το Containment of Incident Response υποδεικνύει τόσο βραχυπρόθεσμα όσο και μακροπρόθεσμα σχέδια (υποθέτοντας ότι έχετε ένα πρότυπο ή σχέδιο αντιμετώπισης περιστατικών).

4] IR – Εκρίζωση(4] IR – Eradication)

Η εξάλειψη, στα έξι στάδια του Incident Response, σημαίνει την αποκατάσταση του δικτύου που επηρεάστηκε από την επίθεση. Μπορεί να είναι τόσο απλό όσο η εικόνα του δικτύου που είναι αποθηκευμένη σε ξεχωριστό διακομιστή που δεν είναι συνδεδεμένος σε κανένα δίκτυο ή Διαδίκτυο(Internet) . Μπορεί να χρησιμοποιηθεί για την επαναφορά του δικτύου.

5] IR – Ανάκτηση(5] IR – Recovery)

Το πέμπτο στάδιο στο Incident Response είναι να καθαρίσετε το δίκτυο για να αφαιρέσετε οτιδήποτε μπορεί να έχει μείνει πίσω μετά την εκρίζωση. Αναφέρεται επίσης στην επαναφορά του δικτύου στη ζωή. Σε αυτό το σημείο, θα εξακολουθείτε να παρακολουθείτε οποιαδήποτε μη φυσιολογική δραστηριότητα στο δίκτυο.

6] Ανταπόκριση σε περιστατικά – Διδάγματα(6] Incident Response – Lessons Learned)

Το τελευταίο στάδιο των έξι σταδίων του Incident Response αφορά την εξέταση του συμβάντος και την καταγραφή των πραγμάτων που έφταιγαν. Οι άνθρωποι συχνά χάνουν αυτό το στάδιο, αλλά είναι απαραίτητο να μάθετε τι πήγε στραβά και πώς μπορείτε να το αποφύγετε στο μέλλον.

Λογισμικό ανοιχτού κώδικα(Open Source Software) για τη διαχείριση της απόκρισης σε περιστατικά(Incident Response)

1] Το CimSweep(1] CimSweep) είναι μια σουίτα εργαλείων χωρίς πράκτορες που σας βοηθά με την απόκριση περιστατικών(Incident Response) . Μπορείτε να το κάνετε και εξ αποστάσεως εάν δεν μπορείτε να είστε παρών στο μέρος όπου συνέβη. Αυτή η σουίτα περιέχει εργαλεία για αναγνώριση απειλών και απομακρυσμένη απόκριση. Προσφέρει επίσης εγκληματολογικά εργαλεία που σας βοηθούν να ελέγξετε τα αρχεία καταγραφής συμβάντων, τις υπηρεσίες και τις ενεργές διαδικασίες κ.λπ. Περισσότερες λεπτομέρειες εδώ(More details here) .

2] Το Εργαλείο ταχείας απόκρισης GRR(2] GRR Rapid Response Tool) είναι διαθέσιμο στο GitHub και σας βοηθά να εκτελέσετε διαφορετικούς ελέγχους στο δίκτυό σας ( Σπίτι(Home) ή Γραφείο(Office) ) για να δείτε εάν υπάρχουν ευπάθειες. Διαθέτει εργαλεία για ανάλυση μνήμης σε πραγματικό χρόνο, αναζήτηση μητρώου κ.λπ. Είναι ενσωματωμένο σε Python , επομένως είναι συμβατό με όλα τα λειτουργικά συστήματα Windows – XP(Windows OS – XP) και νεότερες εκδόσεις, συμπεριλαμβανομένων των Windows 10. Δείτε το στο Github(Check it out on Github) .

3] Το TheHive(3] TheHive) είναι ένα ακόμη εργαλείο Ανοιχτού Κώδικα Αντίδρασης Συμβάντων(Incident Response) . Επιτρέπει τη συνεργασία με μια ομάδα. Η ομαδική εργασία διευκολύνει την αντιμετώπιση των επιθέσεων στον κυβερνοχώρο καθώς η εργασία (καθήκοντα) μετριάζεται σε διαφορετικά, ταλαντούχα άτομα. Έτσι, βοηθά στην παρακολούθηση του IR σε πραγματικό χρόνο. Το εργαλείο προσφέρει ένα API που μπορεί να χρησιμοποιήσει η ομάδα IT. Όταν χρησιμοποιείται με άλλο λογισμικό, το TheHive(TheHive) μπορεί να παρακολουθεί έως και εκατό μεταβλητές κάθε φορά – έτσι ώστε οποιαδήποτε επίθεση να εντοπίζεται αμέσως και η απόκριση περιστατικού(Incident Response) να ξεκινά γρήγορα. Περισσότερες πληροφορίες εδώ(More information here) .

Τα παραπάνω εξηγούν εν συντομία το Incident Response, εξετάζουν τα έξι στάδια του Incident Response και αναφέρουν τρία εργαλεία για βοήθεια στην αντιμετώπιση περιστατικών. Εάν έχετε κάτι να προσθέσετε, κάντε το στην παρακάτω ενότητα σχολίων.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Είμαι μηχανικός λογισμικού με πάνω από 10 χρόνια εμπειρίας στον κλάδο του Xbox. Ειδικεύομαι στην ανάπτυξη παιχνιδιών και στις δοκιμές ασφαλείας. Είμαι επίσης έμπειρος κριτικός και εργάζομαι σε έργα για μερικά από τα μεγαλύτερα ονόματα του gaming, συμπεριλαμβανομένων των Ubisoft, Microsoft και Sony. Στον ελεύθερο χρόνο μου, μου αρέσει να παίζω βιντεοπαιχνίδια και να παρακολουθώ τηλεοπτικές εκπομπές.



Related posts