@Ineverleft
2年前 提问
1个回答

应急响应包含哪些关键技术

房乐
2年前

应急响应包含以下关键技术:

  • 网络追踪技术:网络追踪技术又可分为主动追踪和被动追踪。主动追踪技术主要利用信息隐藏技术,例如针对HTTP协议,在返回的HTTP报文中加入不易察觉并有特殊标记的内容,从而在网络中通过检测这些标记来定位网络攻击的路径。被动追踪技术基于网络的本身特性,例如利用数据在连接链中流动时应用层数据基本不变的性质,对应用层数据进行摘要(通过Hash函数),根据摘要进行有效追踪,从而找出攻击轨迹。

  • 计算机取证技术:现在的计算机取证技术已经发展到动态的信息监控和证据获取。动态取证是将入侵检测系统、防火墙、蜜罐等网络安全技术紧密结合起来,实时获取数据并采用智能分析技术,实时检测入侵,分析入侵企图,在确保安全的情况下,获取入侵者的大量证据,同时将这些证据进行保全、提交的过程。这些证据包括正在运行的主机中的内存数据、进程信息、交换文件、网络状态信息、日志文件以及运行在网络中的网络数据包。动态取证技术能及时地获取入侵证据,因此获取的证据更全面、可靠,同时系统通过实时分析入侵者的企图,采取相应的防御措施,切断或追踪入侵途径,可以将入侵造成的损失降到最低。由于动态取证过程更加系统化并具有智能性,也更加灵活多样,因而已经成为计算机取证技术的新的发展方向。

  • 网络诱骗技术:蜜罐与蜜网的核心技术是欺骗诱导技术和数据捕捉技术。欺骗诱导技术对于蜜罐至关重要,蜜罐只有在受到黑客攻击时才能体现其价值,没有黑客的活动,蜜罐建得再好也只能是对资源的闲置和浪费。欺骗诱导技术是使蜜罐系统在网络上与真实的主机系统难以区分。数据捕捉技术是蜜罐的核心,就是在不被入侵者察觉的情况下尽可能多地捕捉、收集他们的活动并存放在安全的地方,并且要确保捕获的攻击数据的准确性、完整性和时效性。

应急响应中应该关注以下指标:

  • MTTD平均检测时间:MTTD是指从系统故障到检测或告警所需的平均时间,例如某系统在12:00发生故障,但直到12:10才有人注意到或被提醒,那么此时MTTD是10分钟。

  • MTTA平均确认时间:MTTA是指从系统产生告警到人员开始注意并处理的平均时间,例如安全组件在12:10检测并发送告警后,应急响应人员在12:15开始处理该事件。那么此时MTTA是5分钟。

  • MTTI平均调查时间:MTTI是指从确认一个安全事件到开始调查其原因和解决方案的平均时间,例如某安全运营人员在12:15开始处理告警并在12:30完成初步分析及拟定止损方案。那么此时MTTI是15分钟。

  • MTTC平均遏制时间:MTTC是指安全团队找到威胁者并阻止他们进一步进入你的系统和网络所需的时间,例如自安全事件在12:10被检测到后,应急响应人员在12:45成功遏制了攻击者的利用方式并阻断了通讯隧道,有效地防止攻击者进行下一步入侵。

  • MTTR平均响应时间:是指从第一次收到警报时起,直到产品或系统从故障中恢复所需的平均时间,例如一周内有10次停电,修复系统花费了4个小时。四个小时是240分钟。240除以10是24。这意味着在这种情况下,修复的平均时间是24分钟。