Phases of Incident Response

Phases of Incident Response

When cybersecurity event happens, you are in demanding circumstance that calls for quick response. Planning your incident response will help you get to successful containment and recovery more rapidly. The response speed is essential to minimising damage, and success depends on having predetermined plan in place.

1. Preparation

Preparation is to be able to react to an occurrence quickly, preparation is necessary.  Understanding your capacity for quick responses might be aided by playing wargames. 
The “Preparation” stage is deemed to be of utmost importance and the initial step in the incident response process by both NIST and SANS frameworks.

First, identify and assemble list of assets. 

  • In the beginning, we must identify things like servers, networks (wired and wireless), and your essential endpoints during the preparation process (i.e. finance and C-level executives). 
  • After that, you must order them based on how crucial they are to your company’s infrastructure. 
  • After that, you will keep an eye on the traffic patterns to establish security benchmark for comparison.
In order for everyone to know who to contact and how to contact them in an emergency, you may also prepare communication strategy. Consider the nature of the occurrence as well. 
When we experience Denial-of-service (DDoS) Attack, who should we need? Network experts or computer forensicsIt is crucial to know who to contact when and at what time. 
Make sure that everyone on the list and the people who will need to make the contact is on board. When contacting someone, there shouldn’t be any finger-pointing or hiccups.
You must know what constitutes security event and at what level these need to be investigated during the planning stage. Once you are aware of this, you can develop an incident response strategy for every kind of incident. Use simulations, wargames, and other tools to find process flaws and fix them moving forwards.
During the stage of preparation, there are additional items to think about. 
This is really minor aspect of much larger consideration for the incident reaction preparedness stage.

Facilities for incident handler communication for considerations:

Smartphones – Think about rostering your staff such that everyone will have access to phone for an after-hours response.
Encryption – Team members can communicate privately using encryption software so they are protected from network snoopers in the event of a compromise.
During an incident, some law enforcement and security organisations will only speak via encrypted networks. Think about setting this up during the planning phase.
War room – During an incident, this enables a central area where conversations and plans may take place. If you can’t have a permanent space, be ready to clear one out in the event of an emergency.
Secure data – Where will you keep logs, laptops, devices, etc. during security incident at secure storage facility? Take into account an off-site secure storage facility with logged entrance.

Software and hardware for incident analysis:

Backup devices and forensics – To enable the development of forensic photos, log files, and save the evidence and/or intelligence information of the occurrence, 
digital forensic workstations and/or backup devices are required.
Computers – An incident response team will need access to laptops in order to perform analysis, such as traffic sniffing, log file analysis, and report authoring.
Spare workstations, servers, and networking devices, or their virtualized versions –  may be required for testing, use as backup system in the event of failure, 
or for offline virus testing and analysis.
Blank removable media – for backup and duplication.
Printers – Printing reports and logs on portable printer for study.
Analysers – Sniffer software and protocol analysers are used to record and examine network data.

Forensic Software – Software for digital forensic analysis of disc images

2. Identification

SANS and NIST both use identical identification procedures, however, they use different illustrations.
You will start your research operations when security incident has been detected and analysed, which has happened. 
Gathering as much information as you can about the occurrence will help you analyse how it fits into the overall picture. 
You must ascertain:
  • how the incident began, 
  • where it began,
  • and how big it is.
You will be happy you put all of your efforts into the planning stage at this point. 
It cannot be stressed how much simpler this step of the process is with incident planning. 
You shouldn’t have to search around for logs and information because all of your information ought to be filtered into one place.

3. Recovery, Elimination, and Containment

NIST and SANS have been approaching the incident response procedure similarly up to this point. 
According to NIST, the containment, eradication, and recovery processes are all integrated into single stage. 
SANS, on the other hand, treats each as separate procedure.
  • The containment procedure is intended to assist the organisation in preventing the situation from getting worse. patch is now applied to the systems needed to block the threat’s entry point.
  • The goal of the eradication procedure is to eliminate the threat from the organisation. If the threat exists across numerous systems, it must be eliminated from every system.
  • The goal of the recovery process is to restart the organization’s computer network.

4. Post Incident

As of this moment, NIST and SANS had identical perspectives on the incident response procedure. The containment, eradication, and recovery processes, according to NIST, are all integrated into single stage. SANS, however, treats each as separate procedure.
The containment procedure is intended to assist the organisation in preventing the situation from getting worse. patch is now applied to the systems needed to block the threat’s entry point.
The goal of the eradication procedure is to eliminate the threat from the organisation. If the threat exists across numerous systems, it must be eliminated from every system.
The recovery method aims to restart the organization