L'ère actuelle est celle des superordinateurs dans nos poches. Cependant, malgré l'utilisation des meilleurs outils de sécurité, les criminels continuent d'attaquer les ressources en ligne. Cet article a pour but de vous présenter Incident Response (IR) , d'expliquer les différentes étapes de l'IR, puis de répertorier trois logiciels open source gratuits qui facilitent l'IR.

Qu'est-ce que la réponse aux incidents ?

Qu'est-ce qu'un Incident ? Il peut s'agir d'un cybercriminel ou de tout logiciel malveillant prenant le contrôle de votre ordinateur. Vous ne devez pas ignorer l'IR car cela peut arriver à n'importe qui. Si vous pensez que vous ne serez pas affecté, vous avez peut-être raison. Mais pas pour longtemps car il n'y a aucune garantie que quoi que ce soit soit connecté à Internet en tant que tel. Tout artefact qui s'y trouve peut devenir malveillant et installer des logiciels malveillants ou permettre à un cybercriminel d'accéder directement à vos données.

Vous devez disposer d'un modèle de réponse aux incidents^{(Incident Response Template)} afin de pouvoir réagir en cas d'attaque. En d'autres termes, la RI^(IR) ne concerne pas le SI,^(IF,) mais concerne le QUAND^(WHEN) et le COMMENT^(HOW) de la science de l'information.

La réponse aux incidents^{(Incident Response)} s'applique également aux catastrophes naturelles. Vous savez que tous les gouvernements et tous les peuples sont préparés en cas de catastrophe. Ils ne peuvent pas se permettre d'imaginer qu'ils sont toujours en sécurité. Dans un tel incident naturel, le gouvernement, l'armée et de nombreuses organisations non gouvernementales ( ONG^(NGOs) ). De même^(Likewise) , vous ne pouvez pas non plus vous permettre de négliger la réponse aux incidents^{(Incident Response)} (IR) en informatique.

Fondamentalement, IR signifie être prêt pour une cyberattaque et l'arrêter avant qu'elle ne fasse de mal.

Réponse aux incidents – Six étapes

La plupart des gourous de l'informatique^{(IT Gurus)} affirment qu'il existe six étapes de réponse aux incidents^{(Incident Response)} . D'autres le maintiennent à 5. Mais six sont bons car ils sont plus faciles à expliquer. Voici les étapes de la RI sur lesquelles il convient de se concentrer lors de la planification d'un modèle de réponse aux incidents .^{(Incident Response)}

1. Préparation
2. Identification
3. Endiguement
4. Éradication
5. Récupération, et
6. Leçons apprises

1] Réponse aux incidents - Préparation^{(1] Incident Response – Preparation)}

Vous devez être prêt à détecter et à faire face à toute cyberattaque. Cela signifie que vous devriez avoir un plan. Il devrait également inclure des personnes ayant certaines compétences. Il peut inclure des personnes d'organisations externes si vous manquez de talents dans votre entreprise. Il est préférable d'avoir un modèle IR qui explique ce qu'il faut faire en cas de cyberattaque. Vous pouvez en créer un vous-même ou en télécharger un sur Internet . De nombreux modèles de réponse aux incidents sont disponibles sur ^{(Incident Response)}Internet . Mais il est préférable d'engager votre équipe informatique avec le modèle car elle connaît mieux les conditions de votre réseau.

2] RI – Identification^{(2] IR – Identification)}

Il s'agit d'identifier le trafic de votre réseau d'entreprise pour toute irrégularité. Si vous trouvez des anomalies, commencez à agir selon votre plan IR. Vous avez peut-être déjà mis en place des équipements et des logiciels de sécurité pour éloigner les attaques.

3] RI – Confinement^{(3] IR – Containment)}

L'objectif principal du troisième processus est de contenir l'impact de l'attaque. Ici, contenir signifie réduire l'impact et prévenir la cyberattaque avant qu'elle ne puisse endommager quoi que ce soit.

Le confinement de la réponse aux incidents^{(Incident Response)} indique des plans à court et à long terme (en supposant que vous disposez d'un modèle ou d'un plan pour contrer les incidents).

4] RI – Éradication^{(4] IR – Eradication)}

L'éradication, dans les six étapes d'Incident Response, signifie restaurer le réseau qui a été affecté par l'attaque. Cela peut être aussi simple que l'image du réseau stockée sur un serveur séparé qui n'est connecté à aucun réseau ou Internet . Il peut être utilisé pour restaurer le réseau.

5] RI – Récupération^{(5] IR – Recovery)}

La cinquième étape de la réponse aux incidents^{(Incident Response)} consiste à nettoyer le réseau pour supprimer tout ce qui aurait pu rester après l'éradication. Il s'agit également de redonner vie au réseau. À ce stade, vous surveillerez toujours toute activité anormale sur le réseau.

6] Réponse aux incidents - Leçons apprises^{(6] Incident Response – Lessons Learned)}

La dernière étape des six étapes d'Incident Response consiste à examiner l'incident et à noter les éléments fautifs. Les gens ratent souvent cette étape, mais il est nécessaire d'apprendre ce qui n'a pas fonctionné et comment vous pouvez l'éviter à l'avenir.

Logiciel Open Source^{(Open Source Software)} pour la gestion de la réponse aux incidents^{(Incident Response)}

1] CimSweep est une suite d'outils sans agent qui vous aide à répondre aux incidents^{(Incident Response)} . Vous pouvez également le faire à distance si vous ne pouvez pas être présent à l'endroit où cela s'est produit. Cette suite contient des outils pour l'identification des menaces et la réponse à distance. Il propose également des outils médico-légaux qui vous aident à consulter les journaux d'événements, les services et les processus actifs, etc. Plus de détails ici^{(More details here)} .

2] L'outil de réponse rapide GRR^{(2] GRR Rapid Response Tool)} est disponible sur le GitHub et vous aide à effectuer différentes vérifications sur votre réseau ( domicile^(Home) ou bureau^(Office) ) pour voir s'il existe des vulnérabilités. Il dispose d'outils pour l'analyse de la mémoire en temps réel, la recherche dans le registre, etc. Il est construit en Python et est donc compatible avec tous les systèmes d'exploitation Windows - XP^{(Windows OS – XP)} et versions ultérieures, y compris Windows 10. Découvrez-le sur Github^{(Check it out on Github)} .

3] TheHive est un autre outil open source gratuit de réponse aux incidents^{(Incident Response)} . Il permet de travailler en équipe. Le travail d'équipe facilite la lutte contre les cyberattaques car le travail (tâches) est atténué pour différentes personnes talentueuses. Ainsi, il aide à la surveillance en temps réel de l'IR. L'outil propose une API que l'équipe informatique peut utiliser. Lorsqu'il est utilisé avec d'autres logiciels, TheHive peut surveiller jusqu'à une centaine de variables à la fois, de sorte que toute attaque est immédiatement détectée et que la réponse aux incidents^{(Incident Response)} commence rapidement. Plus d'informations ici^{(More information here)} .

Ce qui précède explique la réponse aux incidents en bref, vérifie les six étapes de la réponse aux incidents et nomme trois outils d'aide à la gestion des incidents. Si vous avez quelque chose à ajouter, veuillez le faire dans la section des commentaires ci-dessous.^{(The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.)}

Incident Response Explained: Stages and Open Source software

The current age is of supercomputers in our pockets. However, despite using the best security tools, criminals keep on attacking online resourсes. This post is to introduce you to Incident Response (IR), explain the different stages of IR, and then lists three free open source software that helps with IR.

What is Incident Response

What is an Incident? It could be a cybercriminal or any malware taking over your computer. You should not ignore IR because it can happen to anyone. If you think you won’t be affected, you may be right. But not for long because there is no guarantee of anything connected to the Internet as such. Any artifact there, may go rogue and install some malware or allow a cybercriminal to directly access your data.

You should have an Incident Response Template so that you can respond in case of an attack. In other words, IR is not about IF, but it is concerned with WHEN and HOW of the information science.

Incident Response also applies to natural disasters. You know that all governments and people are prepared when any disaster strikes. They can’t afford to imagine that they are always safe. In such a natural incident, government, army, and plenty of non-government organizations (NGOs). Likewise, you too cannot afford to overlook Incident Response (IR) in IT.

Basically, IR means being ready for a cyber attack and stop it before it does any harm.

Incident Response – Six Stages

Most IT Gurus claim that there are six stages of Incident Response. Some others keep it at 5. But six are good as they are easier to explain. Here are the IR stages that should be kept in focus while planning an Incident Response Template.

1. Preparation
2. Identification
3. Containment
4. Eradication
5. Recovery, and
6. Lessons Learned

1] Incident Response – Preparation

You need to be prepared to detect and deal with any cyberattack. That means you should have a plan. It should also include people with certain skills. It may include people from external organizations if you fall short of talent in your company. It is better to have an IR template that spells out what to do in case of a cyber attack attack. You can create one yourself or download one from the Internet. There are many Incident Response templates available on the Internet. But it is better to engage your IT team with the template as they know better about the conditions of your network.

2] IR – Identification

This refers to identifying your business network traffic for any irregularities. If you find any anomalies, start acting per your IR plan. You might have already placed security equipment and software in place to keep attacks away.

3] IR – Containment

The main aim of the third process is to contain the attack impact. Here, containing means reducing the impact and prevent the cyberattack before it can damage anything.

Containment of Incident Response indicates both short- and long-term plans (assuming that you have a template or plan to counter incidents).

4] IR – Eradication

Eradication, in Incident Response’s six stages, means restoring the network that was affected by the attack. It can be as simple as the network’s image stored on a separate server that is not connected to any network or Internet. It can be used to restore the network.

5] IR – Recovery

The fifth stage in Incident Response is to clean the network to remove anything that might have left behind after eradication. It also refers to bringing back the network to life. At this point, you’d still be monitoring any abnormal activity on the network.

6] Incident Response – Lessons Learned

The last stage of Incident Response’s six stages is about looking into the incident and noting down the things that were at fault. People often give a miss this stage, but it is necessary to learn what went wrong and how you can avoid it in the future.

Open Source Software for managing Incident Response

1] CimSweep is an agentless suite of tools that helps you with Incident Response. You can do it remotely too if you can’t be present at the place where it happened. This suite contains tools for threat identification and remote response. It also offers forensic tools that help you check out event logs, services, and active processes, etc. More details here.

2] GRR Rapid Response Tool is available on the GitHub and helps you perform different checks on your network (Home or Office) to see if there are any vulnerabilities. It has tools for real-time memory analysis, registry search, etc. It is built in Python so is compatible with all Windows OS – XP and later versions, including Windows 10. Check it out on Github.

3] TheHive is yet another open source free Incident Response tool. It allows working with a team. Teamwork makes it easier to counter cyber attacks as work (duties) are mitigated to different, talented people. Thus, it helps in real-time monitoring of IR. The tool offers an API that the IT team can use. When used with other software, TheHive can monitor up to a hundred variables at a time – so that any attack is immediately detected, and Incident Response begins quick. More information here.

The above explains Incident Response in brief, checks out the six stages of Incident Response, and names three tools for help in dealing with Incidents. If you have anything to add, please do so in the comments section below.

Related posts

• OnionShare vous permet de partager de manière sécurisée et anonyme d'un fichier de toutes tailles

• Comment télécharger et installer Git dans Windows 10

• Comment utiliser PowerToys Run and Keyboard Manager PowerToy

• Praat speech analysis software pour Windows 10 aidera les phonéticiens

• Best Git GUI Clients pour Windows 10

• Bitwarden Review: GRATUIT Open Source Password Manager pour Windows PC

• Comment utiliser et ajouter Work/School comptes à Microsoft Authenticator app

• Partagez des fichiers et discuter avec des amis avec Ares Galaxy

• Conseils pour les utilisateurs de messagerie: sécuriser et protéger votre email account

• 10 meilleurs paramètres de zoom pour Security and Privacy

• Seafile: Free Self-héberge file sync and share software

• Tiny Security Suite vous aide à chiffrer, déchiqueter et Protéger les fichiers contre sur votre PC

• GitAtomic est un Git GUI Client pour les systèmes Windows

• Rogue Security Software or Scareware: Comment vérifier, empêcher, supprimer?

• Comment désactiver Security and Maintenance notifications dans Windows 11/10

• Votre IT administrator a Windows Security désactivé

• Différence: Freeware, Free Software, Open Source, Shareware, Trialware, etc

• Avidemux Open Source Video Editor - Examen & Télécharger

• Comment réinitialiser Windows Security app dans Windows 10

• Comment garder les sites Web sécurisés: menaces et gérer les vulnérabilités