Giải thích về ứng phó sự cố: Các giai đoạn và phần mềm nguồn mở

Thời đại hiện nay là của siêu máy tính trong túi của chúng ta. Tuy nhiên, mặc dù sử dụng các công cụ bảo mật tốt nhất, bọn tội phạm vẫn không ngừng tấn công các nguồn tài nguyên trực tuyến. Bài đăng này nhằm giới thiệu với bạn về Ứng phó sự cố (IR)(Incident Response (IR)) , giải thích các giai đoạn khác nhau của IR, sau đó liệt kê ba phần mềm nguồn mở miễn phí hỗ trợ IR.

Ứng phó Sự cố là gì

ỨNG PHÓ SỰ CỐ

Sự cố(Incident) là gì? Nó có thể là tội phạm mạng hoặc bất kỳ phần mềm độc hại nào xâm nhập máy tính của bạn. Bạn không nên bỏ qua IR vì nó có thể xảy ra với bất kỳ ai. Nếu bạn nghĩ rằng bạn sẽ không bị ảnh hưởng, bạn có thể đúng. Nhưng không được lâu vì không có gì đảm bảo cho bất cứ thứ gì được kết nối với Internet như vậy. Bất kỳ tạo tác nào ở đó, có thể bị lừa và cài đặt một số phần mềm độc hại hoặc cho phép tội phạm mạng truy cập trực tiếp vào dữ liệu của bạn.

Bạn nên có Mẫu phản hồi sự cố(Incident Response Template) để có thể phản hồi trong trường hợp bị tấn công. Nói cách khác, IR không liên quan đến NẾU,(IF,) mà nó liên quan đến KHI NÀO(WHEN)LÀM THẾ NÀO(HOW) của khoa học thông tin.

Ứng phó Sự cố(Incident Response) cũng áp dụng cho các thảm họa thiên nhiên. Bạn biết rằng tất cả các chính phủ và người dân đã chuẩn bị sẵn sàng khi có bất kỳ thảm họa nào xảy ra. Họ không thể tưởng tượng rằng họ luôn được an toàn. Trong một sự cố tự nhiên như vậy, chính phủ, quân đội và rất nhiều tổ chức phi chính phủ ( NGO(NGOs) ). Tương tự như vậy(Likewise) , bạn cũng không thể bỏ qua Ứng phó Sự cố(Incident Response) (IR) trong CNTT.

Về cơ bản, IR có nghĩa là sẵn sàng cho một cuộc tấn công mạng và ngăn chặn nó trước khi nó gây hại.

Ứng phó sự cố - Sáu giai đoạn

Hầu hết các Chuyên gia CNTT(IT Gurus) đều khẳng định rằng có sáu giai đoạn của Ứng phó Sự cố(Incident Response) . Một số người khác giữ nó ở mức 5. Nhưng sáu là tốt vì chúng dễ giải thích hơn. Dưới đây là các giai đoạn IR cần được chú trọng khi lập kế hoạch Mẫu ứng phó sự cố .(Incident Response)

  1. Sự chuẩn bị
  2. Nhận biết
  3. Sự ngăn chặn
  4. Diệt trừ
  5. Phục hồi và
  6. Bài học kinh nghiệm

1] Ứng phó sự cố - Chuẩn bị(1] Incident Response – Preparation)

Bạn cần chuẩn bị để phát hiện và đối phó với bất kỳ cuộc tấn công mạng nào. Điều đó có nghĩa là bạn nên có một kế hoạch. Nó cũng nên bao gồm những người có kỹ năng nhất định. Nó có thể bao gồm những người từ các tổ chức bên ngoài nếu bạn thiếu nhân tài trong công ty của mình. Tốt hơn là có một mẫu IR giải thích những việc cần làm trong trường hợp bị tấn công mạng. Bạn có thể tự tạo hoặc tải xuống từ Internet . Có nhiều mẫu Ứng phó Sự cố(Incident Response) có sẵn trên Internet . Nhưng tốt hơn là nên thu hút nhóm CNTT của bạn với mẫu vì họ biết rõ hơn về các điều kiện mạng của bạn.

2] IR - Nhận dạng(2] IR – Identification)

Điều này đề cập đến việc xác định lưu lượng truy cập mạng doanh nghiệp của bạn xem có bất kỳ bất thường nào không. Nếu bạn tìm thấy bất kỳ điều bất thường nào, hãy bắt đầu hành động theo kế hoạch IR của bạn. Bạn có thể đã đặt thiết bị bảo mật và phần mềm để ngăn chặn các cuộc tấn công.

3] IR - Ngăn chặn(3] IR – Containment)

Mục đích chính của quy trình thứ ba là ngăn chặn tác động tấn công. Ở đây, chứa có nghĩa là giảm tác động và ngăn chặn cuộc tấn công mạng trước khi nó có thể làm hỏng bất cứ thứ gì.

Ngăn chặn Ứng phó Sự cố(Incident Response) chỉ ra cả kế hoạch ngắn hạn và dài hạn (giả sử rằng bạn có một khuôn mẫu hoặc kế hoạch để đối phó với sự cố).

4] IR - Sự thoái vị(4] IR – Eradication)

Xóa bỏ, trong sáu giai đoạn của Ứng phó sự cố, có nghĩa là khôi phục mạng bị ảnh hưởng bởi cuộc tấn công. Nó có thể đơn giản như hình ảnh của mạng được lưu trữ trên một máy chủ riêng biệt không được kết nối với bất kỳ mạng hoặc Internet nào . Nó có thể được sử dụng để khôi phục mạng.

5] IR - Phục hồi(5] IR – Recovery)

Giai đoạn thứ năm trong Ứng phó sự cố(Incident Response) là làm sạch mạng để loại bỏ bất kỳ thứ gì có thể còn sót lại sau khi xóa. Nó cũng đề cập đến việc đưa mạng trở lại cuộc sống. Tại thời điểm này, bạn vẫn đang theo dõi bất kỳ hoạt động bất thường nào trên mạng.

6] Ứng phó sự cố - Bài học kinh nghiệm(6] Incident Response – Lessons Learned)

Giai đoạn cuối cùng trong sáu giai đoạn của Ứng phó sự cố là xem xét sự cố và ghi lại những điều có lỗi. Mọi người thường bỏ lỡ giai đoạn này, nhưng điều cần thiết là phải tìm hiểu những gì đã xảy ra và cách bạn có thể tránh nó trong tương lai.

Phần mềm nguồn mở(Open Source Software) để quản lý ứng phó sự cố(Incident Response)

1] CimSweep là một bộ công cụ không cần tác nhân giúp bạn Ứng phó với Sự cố(Incident Response) . Bạn cũng có thể làm điều đó từ xa nếu bạn không thể có mặt tại nơi xảy ra sự việc. Bộ phần mềm này chứa các công cụ để xác định mối đe dọa và phản ứng từ xa. Nó cũng cung cấp các công cụ pháp y giúp bạn kiểm tra nhật ký sự kiện, dịch vụ và quy trình đang hoạt động, v.v. Thông tin chi tiết tại đây(More details here) .

2] Công cụ phản hồi nhanh GRR(2] GRR Rapid Response Tool) có sẵn trên GitHub và giúp bạn thực hiện các kiểm tra khác nhau trên mạng của mình ( Nhà(Home) hoặc Văn phòng(Office) ) để xem có lỗ hổng nào không. Nó có các công cụ để phân tích bộ nhớ theo thời gian thực, tìm kiếm sổ đăng ký, v.v. Nó được xây dựng bằng Python nên tương thích với tất cả các phiên bản Windows OS - XP(Windows OS – XP) và các phiên bản mới hơn, bao gồm cả Windows 10. Hãy khám phá trên Github(Check it out on Github) .

3] TheHive là một công cụ Ứng phó Sự cố(Incident Response) miễn phí mã nguồn mở khác . Nó cho phép làm việc với một nhóm. Làm việc theo nhóm giúp chống lại các cuộc tấn công mạng dễ dàng hơn vì công việc (nhiệm vụ) được giảm nhẹ cho những người tài năng, khác biệt. Do đó, nó giúp theo dõi IR theo thời gian thực. Công cụ này cung cấp một API mà nhóm CNTT có thể sử dụng. Khi được sử dụng với phần mềm khác, TheHive có thể theo dõi tới hàng trăm biến cùng một lúc - để mọi cuộc tấn công được phát hiện ngay lập tức và Phản hồi sự cố(Incident Response) bắt đầu nhanh chóng. Thông tin thêm tại đây(More information here) .

Ở trên giải thích ngắn gọn về Ứng phó sự cố, kiểm tra sáu giai đoạn của Ứng phó sự cố và nêu tên ba công cụ trợ giúp trong việc đối phó với Sự cố. Nếu bạn có bất cứ điều gì để thêm, xin vui lòng làm như vậy trong phần bình luận bên dưới.(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)



About the author

Tôi là một chuyên gia Windows 10 được đề xuất với hơn 10 năm kinh nghiệm trong ngành phần mềm. Tôi có kiến ​​thức chuyên môn về cả Explorer và Office 365, đồng thời tôi đặc biệt có kỹ năng trong việc cá nhân hóa và tùy chọn giao diện cho người dùng của mình. Kỹ năng của tôi là trọng tâm của công việc kinh doanh của tôi, đó là cung cấp dịch vụ khách hàng tuyệt vời thông qua các bài đánh giá trực tuyến và tận dụng các công nghệ như AI để cải thiện hỗ trợ.



Related posts