عصر کنونی ابررایانه ها در جیب ماست. با این حال، با وجود استفاده از بهترین ابزارهای امنیتی، مجرمان همچنان به منابع آنلاین حمله می کنند. این پست برای معرفی شما با Incident Response (IR) است، مراحل مختلف IR را توضیح می‌دهد و سپس سه نرم‌افزار منبع باز رایگان را فهرست می‌کند که به IR کمک می‌کنند.

واکنش به حادثه چیست

حادثه^(Incident) چیست ؟ این می تواند یک مجرم سایبری یا هر بدافزاری باشد که رایانه شما را تحت کنترل درآورده است. شما نباید IR را نادیده بگیرید زیرا ممکن است برای هر کسی اتفاق بیفتد. اگر فکر می کنید تحت تأثیر قرار نخواهید گرفت، ممکن است حق با شما باشد. اما نه برای مدت طولانی، زیرا هیچ تضمینی برای اتصال به اینترنت^(Internet) وجود ندارد . هر مصنوع موجود در آن، ممکن است سرکش شود و برخی بدافزارها را نصب کند یا به یک مجرم سایبری اجازه دهد مستقیماً به داده‌های شما دسترسی داشته باشد.

شما باید یک الگوی Incident Response^{(Incident Response Template)} داشته باشید تا بتوانید در صورت حمله پاسخ دهید. به عبارت دیگر، IR در مورد IF نیست،^(IF,) بلکه مربوط به WHEN و HOW علم اطلاعات است.

واکنش حوادث^{(Incident Response)} همچنین در مورد بلایای طبیعی اعمال می شود. شما می دانید که همه دولت ها و مردم در هنگام وقوع هر فاجعه ای آماده هستند. آنها نمی توانند تصور کنند که همیشه در امان هستند. در چنین حادثه ای طبیعی، دولت، ارتش و تعداد زیادی از سازمان های غیردولتی ( NGOs ). به همین ترتیب^(Likewise) ، شما نیز نمی توانید از پاسخ به حادثه^{(Incident Response)} (IR) در فناوری اطلاعات چشم پوشی کنید.

اساساً IR به معنای آماده بودن برای حمله سایبری و توقف آن قبل از اینکه آسیبی وارد کند است.

واکنش به حادثه - شش مرحله

اکثر متخصصان فناوری اطلاعات^{(IT Gurus)} ادعا می کنند که شش مرحله واکنش به حادثه^{(Incident Response)} وجود دارد . برخی دیگر آن را روی 5 نگه می دارند. اما شش مورد خوب هستند زیرا توضیح آنها آسان تر است. در اینجا مراحل IR وجود دارد که باید در هنگام برنامه ریزی یک الگوی واکنش به حادثه مورد توجه قرار گیرند.^{(Incident Response)}

1. آماده سازی
2. شناسایی
3. مهار
4. قلع و قمع
5. بازیابی، و
6. درس های آموخته شده

1] واکنش به حادثه - آمادگی^{(1] Incident Response – Preparation)}

شما باید برای شناسایی و مقابله با هر گونه حمله سایبری آماده باشید. یعنی باید برنامه داشته باشی. همچنین باید شامل افرادی با مهارت های خاص باشد. اگر استعدادی در شرکت خود ندارید، ممکن است شامل افرادی از سازمان‌های خارجی باشد. بهتر است یک الگوی IR داشته باشید که در آن توضیح دهد که در صورت حمله سایبری چه باید کرد. می توانید خودتان یکی بسازید یا از اینترنت^(Internet) دانلود کنید . الگوهای بسیاری از Incident Response در ^{(Incident Response)}اینترنت^(Internet) موجود است. اما بهتر است تیم فناوری اطلاعات خود را با این قالب درگیر کنید زیرا آنها از شرایط شبکه شما بهتر می دانند.

2] IR - شناسایی^{(2] IR – Identification)}

این به شناسایی ترافیک شبکه تجاری شما برای هر گونه بی نظمی اشاره دارد. اگر هر گونه ناهنجاری پیدا کردید، طبق برنامه IR خود عمل کنید. ممکن است قبلاً تجهیزات و نرم افزار امنیتی را برای دور نگه داشتن حملات در محل قرار داده باشید.

3] IR - مهار^{(3] IR – Containment)}

هدف اصلی فرآیند سوم مهار تأثیر حمله است. در اینجا، حاوی به معنای کاهش تأثیر و جلوگیری از حمله سایبری قبل از اینکه به چیزی آسیب برساند است.

Containment of Incident Response هم برنامه‌های کوتاه‌مدت و هم بلندمدت را نشان می‌دهد (با فرض اینکه شما یک الگو یا برنامه‌ای برای مقابله با حوادث دارید).

4] IR - ریشه کنی^{(4] IR – Eradication)}

ریشه کنی، در شش مرحله Incident Response، به معنای بازیابی شبکه ای است که تحت تأثیر حمله قرار گرفته است. این می تواند به سادگی تصویر شبکه ذخیره شده در سرور جداگانه ای باشد که به هیچ شبکه یا اینترنت^(Internet) متصل نیست . می توان از آن برای بازیابی شبکه استفاده کرد.

5] IR - بازیابی^{(5] IR – Recovery)}

مرحله پنجم در Incident Response ، پاکسازی شبکه برای حذف هر چیزی است که ممکن است پس از ریشه کنی باقی بماند. همچنین به بازگرداندن شبکه به زندگی اشاره دارد. در این مرحله، شما همچنان هرگونه فعالیت غیرعادی در شبکه را زیر نظر خواهید داشت.

6] واکنش به حادثه - درس های آموخته شده^{(6] Incident Response – Lessons Learned)}

آخرین مرحله از شش مرحله Incident Response مربوط به بررسی حادثه و یادداشت مواردی است که مقصر بوده است. مردم اغلب این مرحله را از دست می دهند، اما باید یاد بگیرید که چه چیزی اشتباه رخ داده است و چگونه می توانید در آینده از آن اجتناب کنید.

نرم افزار منبع باز^{(Open Source Software)} برای مدیریت واکنش به حوادث^{(Incident Response)}

1] CimSweep مجموعه ای از ابزارهای بدون عامل است که به شما در پاسخ به حادثه^{(Incident Response)} کمک می کند . اگر نمی توانید در محلی که اتفاق افتاده است حضور داشته باشید، می توانید آن را از راه دور نیز انجام دهید. این مجموعه شامل ابزارهایی برای شناسایی تهدید و پاسخ از راه دور است. همچنین ابزارهای پزشکی قانونی را ارائه می دهد که به شما کمک می کند گزارش رویدادها، خدمات، و فرآیندهای فعال و غیره را بررسی کنید. جزئیات بیشتر در اینجا^{(More details here)} .

2] ابزار پاسخ سریع GRR^{(2] GRR Rapid Response Tool)} در GitHub در دسترس است و به شما کمک می کند تا بررسی های مختلفی را در شبکه خود ( خانه^(Home) یا دفتر^(Office) ) انجام دهید تا ببینید آیا آسیب پذیری وجود دارد یا خیر. دارای ابزارهایی برای تجزیه و تحلیل حافظه بلادرنگ، جستجوی رجیستری و غیره است. این برنامه در پایتون^(Python) ساخته شده است ، بنابراین با تمام سیستم عامل های ویندوز - XP^{(Windows OS – XP)} و نسخه های بعدی، از جمله ویندوز 10 سازگار است. آن را در Github بررسی کنید^{(Check it out on Github)} .

3] TheHive یکی دیگر از ابزارهای متن باز رایگان برای پاسخ به حوادث^{(Incident Response)} است. این اجازه می دهد تا با یک تیم کار کنید. کار تیمی مقابله با حملات سایبری را آسان‌تر می‌کند زیرا کار (وظایف) به افراد مختلف و با استعداد کاهش می‌یابد. بنابراین، به نظارت بلادرنگ IR کمک می کند. این ابزار یک API ارائه می دهد که تیم فناوری اطلاعات می تواند از آن استفاده کند. هنگامی که با نرم افزارهای دیگر استفاده می شود، TheHive می تواند تا صد متغیر را در یک زمان نظارت کند - به طوری که هر حمله ای فورا شناسایی می شود، و Incident Response به سرعت آغاز می شود. اطلاعات بیشتر در اینجا^{(More information here)}

موارد بالا به طور خلاصه Incident Response را توضیح می‌دهند، شش مرحله از Incident Response را بررسی می‌کنند، و سه ابزار را برای کمک به مقابله با حوادث نام‌گذاری می‌کنند. اگر چیزی برای اضافه کردن دارید، لطفاً آن را در بخش نظرات زیر انجام دهید.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age is of supercomputers in our pockets. However, despitе usіng the best security tools, criminаls keep on attacking online resources. This post is to introduce yoυ to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery, and
6. Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Related posts

• OnionShare شما اجازه می دهد امن و ناشناس به اشتراک گذاشتن یک فایل با هر اندازه

• چگونه برای دانلود و نصب Git در Windows 10

• نحوه استفاده از PowerToys Run and Keyboard Manager PowerToy

• Praat speech analysis software برای Windows 10 Phoneticians کمک خواهد کرد

• Best Git GUI مشتریان برای Windows 10

• تفاوت: Freeware، Free Software، Open Source، Shareware، Shareware، Trialware، و غیره

• 10 بهترین بازی ویدیویی منبع باز در سال 2022

• TORCS منبع باز Car Racing Simulator Game برای کامپیوتر است

• Rogue Security Software or Scareware: چگونه برای بررسی، جلوگیری از حذف، حذف؟

• چگونه به حفظ وب سایت های امن: تهدید و مقابله با آسیب پذیری

• نحوه بازنشانی Windows Security app در Windows 10

• نحوه غیرفعال کردن کلاس های ذخیره سازی قابل جابجایی و دسترسی به Windows 10

• 10 بهترین تنظیمات زوم برای Security and Privacy

• Bitwarden Review: رایگان Open Source Password Manager FREE Windows PC

• Best GitHub Alternatives برای میزبانی source project باز خود را

• LinkedIn Login and Sign در Security & Privacy Tips

• Lock desktop آیکون یا Password محافظت از برنامه ها در Windows - Desklock

• Best رایگان Open Source Audio Editor Software برای Windows 11/10

• Kernel Security Check Failure error در Windows 10

• Open File Security Warning غیر فعال کردن برای فایل در Windows 10