Η σημερινή εποχή είναι των υπερυπολογιστών στις τσέπες μας. Ωστόσο, παρά τη χρήση των καλύτερων εργαλείων ασφαλείας, οι εγκληματίες συνεχίζουν να επιτίθενται σε διαδικτυακούς πόρους. Αυτή η ανάρτηση έχει σκοπό να σας παρουσιάσει το Incident Response (IR) , να εξηγήσει τα διαφορετικά στάδια του IR και, στη συνέχεια, να παραθέσει τρία δωρεάν λογισμικά ανοιχτού κώδικα που βοηθούν με το IR.

Τι είναι η απόκριση σε περιστατικά

Τι είναι ένα περιστατικό^(Incident) ; Θα μπορούσε να είναι ένας κυβερνοεγκληματίας ή οποιοδήποτε κακόβουλο λογισμικό που καταλαμβάνει τον υπολογιστή σας. Δεν πρέπει να αγνοήσετε το IR γιατί μπορεί να συμβεί σε οποιονδήποτε. Εάν νομίζετε ότι δεν θα επηρεαστείτε, μπορεί να έχετε δίκιο. Αλλά όχι για πολύ, επειδή δεν υπάρχει εγγύηση για οτιδήποτε συνδέεται με το Διαδίκτυο^(Internet) ως τέτοιο. Οποιοδήποτε τεχνούργημα εκεί, μπορεί να γίνει αδίστακτο και να εγκαταστήσει κάποιο κακόβουλο λογισμικό ή να επιτρέψει σε έναν εγκληματία του κυβερνοχώρου να έχει άμεση πρόσβαση στα δεδομένα σας.

Θα πρέπει να έχετε ένα πρότυπο απόκρισης περιστατικού^{(Incident Response Template)} ώστε να μπορείτε να απαντάτε σε περίπτωση επίθεσης. Με άλλα λόγια, το IR δεν αφορά το ΑΝ,^(IF,) αλλά το ΠΟΤΕ^(WHEN) και το ΠΩΣ^(HOW) της επιστήμης της πληροφορίας.

Το Incident Response^{(Incident Response)} ισχύει επίσης για φυσικές καταστροφές. Γνωρίζετε ότι όλες οι κυβερνήσεις και οι άνθρωποι είναι προετοιμασμένοι όταν χτυπήσει οποιαδήποτε καταστροφή. Δεν έχουν την πολυτέλεια να φανταστούν ότι είναι πάντα ασφαλείς. Σε ένα τέτοιο φυσικό περιστατικό, κυβέρνηση, στρατός και πολλές μη κυβερνητικές οργανώσεις ( ΜΚΟ^(NGOs) ). Ομοίως^(Likewise) , δεν έχετε την πολυτέλεια να παραβλέψετε την Απόκριση Συμβάντων^{(Incident Response)} (IR) στην πληροφορική.

Βασικά, IR σημαίνει να είσαι έτοιμος για μια επίθεση στον κυβερνοχώρο και να την σταματήσεις πριν κάνει οποιοδήποτε κακό.

Απόκριση σε περιστατικό – Έξι στάδια

Οι περισσότεροι γκουρού της πληροφορικής^{(IT Gurus)} υποστηρίζουν ότι υπάρχουν έξι στάδια απόκρισης περιστατικού^{(Incident Response)} . Κάποιοι άλλοι το κρατούν στο 5. Αλλά τα έξι είναι καλά καθώς εξηγούνται ευκολότερα. Ακολουθούν τα στάδια υπερύθρων που θα πρέπει να εστιάζονται κατά τον σχεδιασμό ενός προτύπου απόκρισης περιστατικού .^{(Incident Response)}

1. Παρασκευή
2. Ταυτοποίηση
3. Περιορισμός
4. Εκρίζωση
5. Ανάκτηση και
6. Διδάγματα

1] Αντιμετώπιση περιστατικού – Προετοιμασία^{(1] Incident Response – Preparation)}

Πρέπει να είστε προετοιμασμένοι να εντοπίσετε και να αντιμετωπίσετε οποιαδήποτε κυβερνοεπίθεση. Αυτό σημαίνει ότι πρέπει να έχετε ένα σχέδιο. Θα πρέπει επίσης να περιλαμβάνει άτομα με ορισμένες δεξιότητες. Μπορεί να περιλαμβάνει άτομα από εξωτερικούς οργανισμούς, εάν δεν έχετε ταλέντο στην εταιρεία σας. Είναι καλύτερα να έχετε ένα πρότυπο IR που να εξηγεί τι πρέπει να κάνετε σε περίπτωση επίθεσης στον κυβερνοχώρο. Μπορείτε να δημιουργήσετε ένα μόνοι σας ή να το κατεβάσετε από το Διαδίκτυο^(Internet) . Υπάρχουν πολλά πρότυπα απόκρισης συμβάντων^{(Incident Response)} διαθέσιμα στο Διαδίκτυο^(Internet) . Αλλά είναι καλύτερα να δεσμεύσετε την ομάδα IT σας με το πρότυπο, καθώς γνωρίζουν καλύτερα τις συνθήκες του δικτύου σας.

2] IR – Αναγνώριση^{(2] IR – Identification)}

Αυτό αναφέρεται στον εντοπισμό της κίνησης του δικτύου της επιχείρησής σας για τυχόν παρατυπίες. Εάν βρείτε οποιεσδήποτε ανωμαλίες, αρχίστε να ενεργείτε σύμφωνα με το σχέδιο IR σας. Μπορεί να έχετε ήδη τοποθετήσει εξοπλισμό ασφαλείας και λογισμικό για να κρατάτε μακριά τις επιθέσεις.

3] IR – Συγκράτηση^{(3] IR – Containment)}

Ο κύριος στόχος της τρίτης διαδικασίας είναι να περιοριστεί ο αντίκτυπος της επίθεσης. Εδώ, ο περιορισμός σημαίνει μείωση του αντίκτυπου και αποτροπή της κυβερνοεπίθεσης προτού καταστρέψει οτιδήποτε.

Το Containment of Incident Response υποδεικνύει τόσο βραχυπρόθεσμα όσο και μακροπρόθεσμα σχέδια (υποθέτοντας ότι έχετε ένα πρότυπο ή σχέδιο αντιμετώπισης περιστατικών).

4] IR – Εκρίζωση^{(4] IR – Eradication)}

Η εξάλειψη, στα έξι στάδια του Incident Response, σημαίνει την αποκατάσταση του δικτύου που επηρεάστηκε από την επίθεση. Μπορεί να είναι τόσο απλό όσο η εικόνα του δικτύου που είναι αποθηκευμένη σε ξεχωριστό διακομιστή που δεν είναι συνδεδεμένος σε κανένα δίκτυο ή Διαδίκτυο^(Internet) . Μπορεί να χρησιμοποιηθεί για την επαναφορά του δικτύου.

5] IR – Ανάκτηση^{(5] IR – Recovery)}

Το πέμπτο στάδιο στο Incident Response είναι να καθαρίσετε το δίκτυο για να αφαιρέσετε οτιδήποτε μπορεί να έχει μείνει πίσω μετά την εκρίζωση. Αναφέρεται επίσης στην επαναφορά του δικτύου στη ζωή. Σε αυτό το σημείο, θα εξακολουθείτε να παρακολουθείτε οποιαδήποτε μη φυσιολογική δραστηριότητα στο δίκτυο.

6] Ανταπόκριση σε περιστατικά – Διδάγματα^{(6] Incident Response – Lessons Learned)}

Το τελευταίο στάδιο των έξι σταδίων του Incident Response αφορά την εξέταση του συμβάντος και την καταγραφή των πραγμάτων που έφταιγαν. Οι άνθρωποι συχνά χάνουν αυτό το στάδιο, αλλά είναι απαραίτητο να μάθετε τι πήγε στραβά και πώς μπορείτε να το αποφύγετε στο μέλλον.

Λογισμικό ανοιχτού κώδικα^{(Open Source Software)} για τη διαχείριση της απόκρισης σε περιστατικά^{(Incident Response)}

1] Το CimSweep^{(1] CimSweep)} είναι μια σουίτα εργαλείων χωρίς πράκτορες που σας βοηθά με την απόκριση περιστατικών^{(Incident Response)} . Μπορείτε να το κάνετε και εξ αποστάσεως εάν δεν μπορείτε να είστε παρών στο μέρος όπου συνέβη. Αυτή η σουίτα περιέχει εργαλεία για αναγνώριση απειλών και απομακρυσμένη απόκριση. Προσφέρει επίσης εγκληματολογικά εργαλεία που σας βοηθούν να ελέγξετε τα αρχεία καταγραφής συμβάντων, τις υπηρεσίες και τις ενεργές διαδικασίες κ.λπ. Περισσότερες λεπτομέρειες εδώ^{(More details here)} .

2] Το Εργαλείο ταχείας απόκρισης GRR^{(2] GRR Rapid Response Tool)} είναι διαθέσιμο στο GitHub και σας βοηθά να εκτελέσετε διαφορετικούς ελέγχους στο δίκτυό σας ( Σπίτι^(Home) ή Γραφείο^(Office) ) για να δείτε εάν υπάρχουν ευπάθειες. Διαθέτει εργαλεία για ανάλυση μνήμης σε πραγματικό χρόνο, αναζήτηση μητρώου κ.λπ. Είναι ενσωματωμένο σε Python , επομένως είναι συμβατό με όλα τα λειτουργικά συστήματα Windows – XP^{(Windows OS – XP)} και νεότερες εκδόσεις, συμπεριλαμβανομένων των Windows 10. Δείτε το στο Github^{(Check it out on Github)} .

3] Το TheHive^{(3] TheHive)} είναι ένα ακόμη εργαλείο Ανοιχτού Κώδικα Αντίδρασης Συμβάντων^{(Incident Response)} . Επιτρέπει τη συνεργασία με μια ομάδα. Η ομαδική εργασία διευκολύνει την αντιμετώπιση των επιθέσεων στον κυβερνοχώρο καθώς η εργασία (καθήκοντα) μετριάζεται σε διαφορετικά, ταλαντούχα άτομα. Έτσι, βοηθά στην παρακολούθηση του IR σε πραγματικό χρόνο. Το εργαλείο προσφέρει ένα API που μπορεί να χρησιμοποιήσει η ομάδα IT. Όταν χρησιμοποιείται με άλλο λογισμικό, το TheHive^(TheHive) μπορεί να παρακολουθεί έως και εκατό μεταβλητές κάθε φορά – έτσι ώστε οποιαδήποτε επίθεση να εντοπίζεται αμέσως και η απόκριση περιστατικού^{(Incident Response)} να ξεκινά γρήγορα. Περισσότερες πληροφορίες εδώ^{(More information here)} .

Τα παραπάνω εξηγούν εν συντομία το Incident Response, εξετάζουν τα έξι στάδια του Incident Response και αναφέρουν τρία εργαλεία για βοήθεια στην αντιμετώπιση περιστατικών. Εάν έχετε κάτι να προσθέσετε, κάντε το στην παρακάτω ενότητα σχολίων.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age is of supercomputers in our pocketѕ. However, despite using the best security tools, criminals keep on attacking online resources. This post іs to introduce you to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery, and
6. Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Related posts

• Το OnionShare σάς επιτρέπει να μοιράζεστε με ασφάλεια και ανώνυμα ένα αρχείο οποιουδήποτε μεγέθους

• Πώς να κατεβάσετε και να εγκαταστήσετε το Git στα Windows 10

• Πώς να χρησιμοποιήσετε το PowerToys Run και το Keyboard Manager PowerToy

• Το λογισμικό ανάλυσης ομιλίας Praat για Windows 10 θα βοηθήσει τους φωνητικούς

• Καλύτεροι πελάτες Git GUI για Windows 11/10

• Δημοφιλή δωρεάν λειτουργικά συστήματα ανοιχτού κώδικα

• Τα καλύτερα δωρεάν προγράμματα-πελάτες XMPP ανοιχτού κώδικα για Windows 11/10

• Συμβουλές για χρήστες email: Ασφαλίστε και προστατέψτε τον λογαριασμό email σας

• Τρόπος χρήσης και προσθήκης λογαριασμών Work/School στην εφαρμογή Microsoft Authenticator

• Το GitAtomic είναι ένας πελάτης Git GUI για συστήματα Windows

• Πώς να επαναφέρετε την εφαρμογή Windows Security στα Windows 11/10

• Περιορίστε την πρόσβαση USB στον υπολογιστή Windows 10 με το Ratool

• LinkedIn Σύνδεση και είσοδος Συμβουλές ασφάλειας και απορρήτου

• Τα καλύτερα προγράμματα περιήγησης ανοιχτού κώδικα για Windows 10

• Οι καλύτερες εναλλακτικές λύσεις GitHub για τη φιλοξενία του έργου ανοιχτού κώδικα

• Πώς να χρησιμοποιήσετε την GoPro ως κάμερα ασφαλείας

• Σφάλμα αποτυχίας ελέγχου ασφαλείας πυρήνα στα Windows 11/10

• Το TORCS είναι ένα παιχνίδι προσομοιωτή αγώνων αυτοκινήτου ανοιχτού κώδικα για υπολογιστή

• Avidemux Πρόγραμμα επεξεργασίας βίντεο ανοιχτού κώδικα – Αναθεώρηση και λήψη

• Απενεργοποιήστε την προειδοποίηση ασφαλείας ανοιχτού αρχείου για αρχείο στα Windows 11/10