Тренутно доба је суперкомпјутера у нашим џеповима. Међутим, упркос коришћењу најбољих безбедносних алата, криминалци настављају да нападају онлајн ресурсе. Овај пост треба да вас упозна са одговором на инциденте (ИР)^{(Incident Response (IR))} , објасни различите фазе ИР-а, а затим наведе три бесплатна софтвера отвореног кода који помажу у ИР-у.

Шта је одговор на инциденте

Шта је инцидент^(Incident) ? То може бити сајбер криминалац или било који злонамерни софтвер који преузима ваш рачунар. Не треба занемарити ИР јер се то може догодити свакоме. Ако мислите да то неће утицати, можда сте у праву. Али не задуго јер не постоји гаранција за било шта повезано са Интернетом^(Internet) као таквим. Било који артефакт који постоји, може постати лажан и инсталирати малвер или дозволити сајбер криминалцу да директно приступи вашим подацима.

Требало би да имате шаблон одговора на инцидент^{(Incident Response Template)} како бисте могли да одговорите у случају напада. Другим речима, ИР^(IR) се не бави ИФ,^(IF,) већ се бави КАДА^(WHEN) и КАКО^(HOW) информатичке науке.

Реакција на инцидент^{(Incident Response)} се такође односи на природне катастрофе. Знате да су све владе и људи спремни када дође до било какве катастрофе. Не могу себи да приуште да замисле да су увек безбедни. У таквом природном инциденту влада, војска и мноштво невладиних организација ( НВО^(NGOs) ). Исто тако^(Likewise) , ни ви не можете приуштити да превидите одговор^{(Incident Response)} на инциденте (ИР) у ИТ-у.

У основи, ИР значи бити спреман за сајбер напад и зауставити га пре него што учини било какву штету.

Одговор на инцидент – шест фаза

Већина ИТ Гуруа^{(IT Gurus)} тврди да постоји шест фаза одговора на инциденте^{(Incident Response)} . Неки други га држе на 5. Али шест је добро јер их је лакше објаснити. Ево ИР фаза које треба држати у фокусу док планирате шаблон одговора на инцидент .^{(Incident Response)}

1. Припрема
2. Идентификација
3. Задржавање
4. Искорењивање
5. Опоравак, и
6. Научене лекције

1] Одговор на инцидент – припрема^{(1] Incident Response – Preparation)}

Морате бити спремни да откријете и суочите се са сваким сајбер нападом. То значи да треба да имате план. Такође би требало да укључује људе са одређеним вештинама. Може укључивати људе из екстерних организација ако немате довољно талената у вашој компанији. Боље је имати ИР шаблон који наводи шта треба учинити у случају сајбер напада. Можете га сами креирати или преузети са Интернета^(Internet) . Постоји много шаблона за одговор на инциденте^{(Incident Response)} доступних на Интернету^(Internet) . Али боље је ангажовати свој ИТ тим са шаблоном јер они боље знају о условима ваше мреже.

2] ИР – Идентификација^{(2] IR – Identification)}

Ово се односи на идентификацију саобраћаја ваше пословне мреже за било какве неправилности. Ако пронађете било какве аномалије, почните да се понашате према свом ИР плану. Можда сте већ поставили сигурносну опрему и софтвер да бисте спречили нападе.

3] ИР – Задржавање^{(3] IR – Containment)}

Главни циљ трећег процеса је обуздавање утицаја напада. Овде држање значи смањење утицаја и спречавање сајбер напада пре него што може да оштети било шта.

Обуздавање одговора на инциденте^{(Incident Response)} указује на краткорочне и дугорочне планове (под претпоставком да имате шаблон или план за сузбијање инцидената).

4] ИР – Искорењивање^{(4] IR – Eradication)}

Искорењивање, у шест фаза одговора на инциденте, значи обнављање мреже која је била погођена нападом. Може бити једноставно као слика мреже ускладиштена на засебном серверу који није повезан ни са једном мрежом или Интернетом^(Internet) . Може се користити за обнављање мреже.

5] ИР – Опоравак^{(5] IR – Recovery)}

Пета фаза у одговору на инциденте^{(Incident Response)} је чишћење мреже да би се уклонило све што је могло да остане након искорењивања. Такође се односи на враћање мреже у живот. У овом тренутку, и даље бисте пратили сваку абнормалну активност на мрежи.

6] Одговор на инциденте – научене лекције^{(6] Incident Response – Lessons Learned)}

Последња фаза од шест фаза Реаговања на инцидент односи се на сагледавање инцидента и бележење ствари које су биле криве. Људи често промашују ову фазу, али је неопходно научити шта је пошло по злу и како то можете избећи у будућности.

Софтвер отвореног кода^{(Open Source Software)} за управљање одговором на инциденте^{(Incident Response)}

1] ЦимСвееп^{(1] CimSweep)} је пакет алата без агената који вам помаже са одговором на инциденте^{(Incident Response)} . То можете учинити и на даљину ако не можете бити присутни на месту где се то догодило. Овај пакет садржи алате за идентификацију претњи и даљински одговор. Такође нуди форензичке алате који вам помажу да проверите евиденцију догађаја, услуге и активне процесе, итд. Више детаља овде^{(More details here)} .

2] ГРР алатка за брзи одговор^{(2] GRR Rapid Response Tool)} је доступна на ГитХуб-^(GitHub) у и помаже вам да извршите различите провере на вашој мрежи ( кућа^(Home) или канцеларија^(Office) ) да бисте видели да ли постоје рањивости. Поседује алате за анализу меморије у реалном времену, претрагу регистратора, итд. Уграђен је у Питхон^(Python) -у , тако да је компатибилан са свим оперативним системима Виндовс – КСП^{(Windows OS – XP)} и новијим верзијама, укључујући Виндовс 10. Проверите на Гитхуб-у^{(Check it out on Github)} .

3] ТхеХиве^{(3] TheHive)} је још један бесплатни алат за одговор на инциденте отвореног кода. ^{(Incident Response)}Омогућава рад са тимом. Тимски рад олакшава супротстављање сајбер нападима јер се рад (дужности) ублажује различитим, талентованим људима. Дакле, помаже у праћењу ИР у реалном времену. Алат нуди АПИ који ИТ тим може да користи. Када се користи са другим софтвером, ТхеХиве^(TheHive) може истовремено да прати до стотину варијабли – тако да се сваки напад одмах открије, а одговор на инцидент^{(Incident Response)} брзо почиње. Више информација овде^{(More information here)} .

Горе наведено укратко објашњава реаговање на инциденте, проверава шест фаза одговора на инциденте и наводи три алата за помоћ у суочавању са инцидентима. Ако имате нешто да додате, учините то у одељку за коментаре испод.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age is of sυpercоmputers in oυr pockets. However, dеspite using the best securitу tools, criminals keep on attacking online resources. This post is to introduсe you to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery, and
6. Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Related posts

• ОнионСхаре вам омогућава безбедно и анонимно дељење датотеке било које величине

• Како преузети и инсталирати Гит у Виндовс 10

• Како користити ПоверТоис Рун и Кеибоард Манагер ПоверТои

• Софтвер за анализу говора Праат за Виндовс 10 ће помоћи фонетичарима

• Најбољи Гит ГУИ клијенти за Виндовс 11/10

• Рогуе Сецурити Софтваре или Сцареваре: Како проверити, спречити, уклонити?

• Виндовс безбедност каже да нема добављача безбедности у оперативном систему Виндовс 11/10

• Како користити ГоПро као сигурносну камеру

• Закључајте иконе на радној површини или апликације за заштиту лозинком у Виндовс-у - ДескЛоцк

• Како искључити обавештења о безбедности и одржавању у оперативном систему Виндовс 11/10

• Најбољи претраживачи отвореног кода за Виндовс 10

• Најбољи бесплатни КСМПП клијенти отвореног кода за Виндовс 11/10

• Како ресетовати апликацију Виндовс Сецурити у оперативном систему Виндовс 11/10

• Делите датотеке и разговарајте са пријатељима са Арес Галаки

• ОпенДНС преглед - Бесплатан ДНС са родитељском контролом и брзином

• Онемогућите безбедносно упозорење за отварање датотеке за датотеку у оперативном систему Виндовс 11/10

• Најбољи бесплатни софтвер за уређивање звука отвореног кода за Виндовс 11/10

• Како да веб странице буду безбедне: претње и решавање рањивости

• Чланак и савети о Интернет безбедности за Виндовс кориснике

• Како користити Сандбокие на Виндовс 11/10