下载掌阅APP,畅读海量书库
立即打开
遏制是检测到安全事件发生后采取的短期行动,也是应急响应中开始掌握主动权、实施应急措施的第一阶段。遏制阶段的主要目标是及时采取有效措施,限制事件的影响范围,防止潜在的损失和风险扩散,避免造成更大的损失。例如在病毒传播爆发时,快速采取措施将病毒传播控制在尽可能小的范围内,是遏制阶段需要完成的行动。
遏制是整个应急响应流程中最短的阶段,也是对反应速度要求最高的阶段,“短平快”是遏制阶段的核心特征,因为太多的安全事件可能会导致整个网络迅速失控。遏制无法消除安全事件的影响,但可以大大限制当前的局面变得更糟。
常用的遏制方法有以下五种:
1.关闭存在安全风险的系统
当检测到正在运行的系统存在病毒传播、网络攻击等网络安全风险时,及时关闭存在安全风险的系统可以防止系统继续受到侵害,也为进一步更详细地分析提供充足的时间。
关闭系统虽然完全隔绝了系统遭受安全风险的可能,但也完全中断了系统的服务。对于有些已被攻击者完全控制,需要强制关闭的系统,还可能会造成文件损坏、数据丢失,甚至有可能造成硬件损坏。因此在采取关闭系统的遏制方法时,必须先衡量中断服务造成的影响以及强制关闭系统存在的风险,再决定是否采取此遏制方法。
2.断开存在安全风险系统的网络连接
当网络安全事件发生时,断开存在安全风险系统的网络连接是最简单粗暴的办法,但却也是最便捷高效的办法。几乎所有网络安全事件威胁的扩散都要依赖计算机网络,一旦网络连接断开,就从根本上切断了网络威胁的传播途径,达到遏制的目的。
从终端用户角度来讲,断开终端的网络连接,是消除网络安全风险,保护自己的终端不再继续被侵害的可行手段;从网络安全管理者角度来讲,及时切断存在安全风险的局域网与主干网络之间的连接,是防止安全风险跨局域网传播的有效途径。但不可避免的是,断开网络连接必然会影响系统的正常服务。
3.停用异常账号、程序和服务
无论是关闭系统还是断开网络连接,都会造成系统服务中断、运行受限。对于需要长期在线的网站、数据库等服务器,医院、政府、银行等单位的办公系统,以上两种遏制措施都无法长时间使用,这就需要我们采取针对性的遏制方法。
停用异常账号、程序和服务是在终端系统上采取的有效遏制方法:停用异常账号是指删除系统的非正常账号和隐藏账号,并更改加强系统账号的口令安全强度,增加攻击者的入侵难度;停用异常程序是指禁用未被授权的、可疑的应用程序和进程,删除系统各用户“启动”目录下未被授权自启动的程序,确保系统进程安全;停用异常服务是指关闭存在的非法服务和不必要的服务,禁用存在入侵风险的服务,切断攻击者的入侵途径。
4.修改防火墙过滤规则
在检测过程中,如果能够发现网络攻击者、病毒传播源等安全风险的源头,那么就可以通过设置防火墙的过滤规则的方式,禁止系统与存在安全风险的IP地址、MAC地址、网址、域名、应用程序等之间的相互访问,降低系统遭受安全风险的可能。
同时防火墙还可以通过分析报文的内容和行为特征,检测识别拒绝服务型、扫描窥探型、畸形报文型等多种类型的攻击性报文,并对攻击行为采取合理的防范措施,保护网络主机或者网络设备。
5.设置蜜罐系统收集攻击者信息
蜜罐系统就是针对网络攻击者的“钓鱼执法”系统,通过布置诱饵主机、网络服务或信息等作为“蜜罐”,引诱攻击者对诱饵发起进攻。在攻击者进攻时记录其攻击行为,收集其攻击方式和攻击工具,推测其攻击意图和动机。蜜罐系统一方面有助于防御者从攻击者的角度了解系统存在的安全风险和漏洞,认识系统面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力;另一方面,收集攻击者的信息,可以作为法律诉讼的关键证据,让攻击者接受法律的制裁。