网络应急响应的安全技术有哪些
网络应急响应的安全技术有以下这些:
入侵检测技术:入侵检测与应急响应是紧密相关的,发现对网络和系统的攻击或入侵检测才能触发响应的动作。入侵检测可以由系统自动完成,即入侵检测系统(IDS)。在入侵检测系统增加了自动响应的能力,由于检测技术并不成熟,在实际环境中使用这些自动响应技术是相当危险的。
事件的诊断技术:事件的诊断与入侵检测有类似之处,又不完全相同。入侵检测通常在正常的运行过程中,检测是否存在未授权的访问、误用(misuse)等违法安全政策的行为;而事件的诊断则偏重于在事件发生后,弄清受害对象究竟发生了什么,比如是否被病毒感染、是否被黑客攻破,如果是的话,问题出在哪里,影响范围有多大。
攻击源的隔离与快速恢复技术:在确定了事件类型、攻击来源以后,及时地隔离攻击源是防止事件影响扩大化的有效措施,比如对于影响严重的计算机病毒或蠕虫。另外一类事件,比如一旦艰难测出Web服务器被入侵、主页被篡改的事件,应急响应政策可能首先是尽快恢复服务器的正常运行,把事件的负面影响降到最小。快速恢复可能涉及完整性检测、域名切换等技术。
网络追踪技术:对网络攻击行为进行追踪属于主动式的事件分析技术。在攻击追踪方面,最常用的主动式事件分析技术是“蜜罐”技术。蜜罐是当前最流行的一种陷阱及伪装手段,主要用于监视并探测潜在的攻击行为。蜜罐可以是伪装的服务器,也可以是伪装的主机。一台伪装的服务器可以模拟一个或者多个网络服务,而伪装主机是一台有着伪装内容的正常主机,无论是伪装服务器还是伪装主机,与正常的服务器和主机相比,它们还具备监视的功能。
现场取样技术:现场取样工具在应急响应过程之中主要被现场的应急响应人员用于采集事件行为的样本或证据,取样完成后再交由专门的技术人员去做深入的事件分析。现场保护取样的工具包括专用的取样主机和取样软件。
系统安全加固技术:应急响应过程中的安全加固工作在受损系统恢复了干净的系统备份之后,主要的加固内容包括两部,一是系统及系统上运行的应用软件升级程序并且打补丁,屏蔽安全漏洞。二是利用安全风险评估工具测试被恢复系统的安全状况,采用附加的安全措施进一步完善系统的安全。