Spiegazione della risposta all'incidente: fasi e software open source

L'era attuale è quella dei supercomputer nelle nostre tasche. Tuttavia, nonostante utilizzino i migliori strumenti di sicurezza, i criminali continuano ad attaccare le risorse online. Questo post è per presentarti Incident Response (IR) , spiegare le diverse fasi dell'IR e quindi elencare tre software open source gratuiti che aiutano con IR.

Che cos'è la risposta all'incidente

RISPOSTA INCIDENTE

Che cos'è un incidente(Incident) ? Potrebbe essere un criminale informatico o qualsiasi malware che si impossessa del tuo computer. Non dovresti ignorare IR perché può succedere a chiunque. Se pensi di non essere influenzato, potresti avere ragione. Ma non per molto perché non c'è garanzia di nulla connesso a Internet in quanto tale. Qualsiasi artefatto presente può diventare canaglia e installare malware o consentire a un criminale informatico di accedere direttamente ai tuoi dati.

Dovresti avere un modello di risposta all'incidente(Incident Response Template) in modo da poter rispondere in caso di attacco. In altre parole, IR non riguarda l' IF, ma riguarda il QUANDO(WHEN) e il COME(HOW) della scienza dell'informazione.

La risposta agli incidenti(Incident Response) si applica anche ai disastri naturali. Sai che tutti i governi e le persone sono preparati quando si verifica un disastro. Non possono permettersi di immaginare di essere sempre al sicuro. In un incidente così naturale, governo, esercito e molte organizzazioni non governative ( ONG(NGOs) ). Allo stesso modo(Likewise) , anche tu non puoi permetterti di trascurare la risposta agli incidenti(Incident Response) (IR) nell'IT.

Fondamentalmente, IR significa essere pronti per un attacco informatico e fermarlo prima che faccia del male.

Risposta all'incidente: sei fasi

La maggior parte dei Guru IT(IT Gurus) afferma che ci sono sei fasi di risposta agli incidenti(Incident Response) . Alcuni altri lo tengono a 5. Ma sei sono buoni perché sono più facili da spiegare. Ecco le fasi IR che dovrebbero essere tenute a fuoco durante la pianificazione di un modello di risposta agli incidenti(Incident Response) .

  1. Preparazione
  2. Identificazione
  3. Contenimento
  4. Eradicazione
  5. Recupero, e
  6. Lezioni imparate

1] Risposta all'incidente – Preparazione(1] Incident Response – Preparation)

Devi essere preparato a rilevare e affrontare qualsiasi attacco informatico. Ciò significa che dovresti avere un piano. Dovrebbe includere anche persone con determinate abilità. Può includere persone di organizzazioni esterne se non hai talento nella tua azienda. È meglio avere un modello IR che spieghi cosa fare in caso di attacco informatico. Puoi crearne uno tu stesso o scaricarne uno da Internet . Ci sono molti modelli di risposta agli incidenti disponibili su (Incident Response)Internet . Ma è meglio coinvolgere il tuo team IT con il modello poiché conosce meglio le condizioni della tua rete.

2] IR – Identificazione(2] IR – Identification)

Questo si riferisce all'identificazione del traffico della rete aziendale per eventuali irregolarità. Se trovi delle anomalie, inizia ad agire secondo il tuo piano IR. Potresti aver già installato apparecchiature di sicurezza e software per tenere lontani gli attacchi.

3] IR – Contenimento(3] IR – Containment)

L'obiettivo principale del terzo processo è contenere l'impatto dell'attacco. Qui contenere significa ridurre l'impatto e prevenire l'attacco informatico prima che possa danneggiare qualcosa.

Il contenimento della risposta agli incidenti(Incident Response) indica piani sia a breve che a lungo termine (supponendo che tu abbia un modello o un piano per contrastare gli incidenti).

4] IR – Eradicazione(4] IR – Eradication)

Eradicazione, nelle sei fasi di Incident Response, significa ripristinare la rete che è stata colpita dall'attacco. Può essere semplice come l'immagine della rete memorizzata su un server separato che non è connesso a nessuna rete o Internet . Può essere utilizzato per ripristinare la rete.

5] IR – Recupero(5] IR – Recovery)

La quinta fase in Incident Response è pulire la rete per rimuovere tutto ciò che potrebbe essersi lasciato alle spalle dopo l'eradicazione. Si riferisce anche a riportare in vita la rete. A questo punto, continueresti a monitorare qualsiasi attività anomala sulla rete.

6] Risposta all'incidente – Lezioni apprese(6] Incident Response – Lessons Learned)

L'ultima fase delle sei fasi di Incident Response consiste nell'esaminare l'incidente e annotare le cose che erano in errore. Le persone spesso perdono questa fase, ma è necessario imparare cosa è andato storto e come puoi evitarlo in futuro.

Software open source(Open Source Software) per la gestione della risposta agli incidenti(Incident Response)

1] CimSweep è una suite di strumenti senza agente che ti aiuta con la risposta agli incidenti(Incident Response) . Puoi farlo anche da remoto se non puoi essere presente nel luogo in cui è successo. Questa suite contiene strumenti per l'identificazione delle minacce e la risposta remota. Offre anche strumenti forensi che ti aiutano a controllare i registri eventi, i servizi e i processi attivi, ecc. Maggiori dettagli qui(More details here) .

2] GRR Rapid Response Tool è disponibile su GitHub e ti aiuta a eseguire diversi controlli sulla tua rete ( casa(Home) o ufficio(Office) ) per vedere se ci sono delle vulnerabilità. Ha strumenti per l'analisi della memoria in tempo reale, la ricerca del registro, ecc. È costruito in Python , quindi è compatibile con tutti i sistemi operativi Windows - XP(Windows OS – XP) e versioni successive, incluso Windows 10. Dai un'occhiata su Github(Check it out on Github) .

3] TheHive è un altro strumento gratuito (3] TheHive)di risposta agli incidenti(Incident Response) open source . Permette di lavorare con una squadra. Il lavoro di squadra rende più facile contrastare gli attacchi informatici poiché il lavoro (doveri) viene ridotto a persone diverse e di talento. Pertanto, aiuta nel monitoraggio in tempo reale di IR. Lo strumento offre un'API che può essere utilizzata dal team IT. Se utilizzato con altri software, TheHive può monitorare fino a cento variabili alla volta, in modo che qualsiasi attacco venga immediatamente rilevato e la risposta agli incidenti(Incident Response) inizi rapidamente. Maggiori informazioni qui(More information here) .

Quanto sopra spiega in breve la risposta agli incidenti, esamina le sei fasi della risposta agli incidenti e nomina tre strumenti per l'aiuto nella gestione degli incidenti. Se hai qualcosa da aggiungere, fallo nella sezione commenti qui sotto.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



Francesca Cattaneo

About the author

Sono uno sviluppatore di software freeware e sostenitore di Windows Vista/7. Ho scritto diverse centinaia di articoli su vari argomenti relativi al sistema operativo, inclusi suggerimenti e trucchi, guide di riparazione e best practice. Offro anche servizi di consulenza in ufficio attraverso la mia azienda, Help Desk Services. Ho una profonda conoscenza del funzionamento di Office 365, delle sue funzionalità e di come utilizzarle nel modo più efficace.


Related posts