cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > cc防御 > 本文内容

H5防御_简析_如何处理ddos攻击

发布时间:2021-02-23 15:03源自:51首防安全作者:51首防安全阅读()

H5防御_简析_如何处理ddos攻击

简介在题为"NIST和ISO标准中的事件响应生命周期"的系列文章中,我们回顾了与事件管理相关的NIST和ISO标准中定义和描述的事件响应生命周期。我们在本系列的第一篇文章中介绍了这些标准。在本系列的前一篇文章中,高防cdn举报会死吗,我们讨论了事件响应生命周期的"准备"阶段,如NIST特别出版物(SP)800-61所述。在本文中,我们将讨论这个周期的第二个阶段——"检测和分析"阶段。"检测和分析"阶段的目的此阶段的主要目的是确定事件是否真的发生并分析其性质。这些任务可能并不容易。NIST SP 800-61列出了"检测和分析"阶段的几个步骤。这些是:注意事件迹象(称为"预兆"和"指标");分析这些迹象;记录事件;优先处理事件;事件通知。在事件响应生命周期的现阶段,事件响应团队不应试图根除事件。在没有适当的事件分析的情况下,不要开始根除活动是非常重要的。如果不遵守此规则,ddos防御能力对比,事件响应团队可能会浪费时间和资源在针对最终不是事件的事件的活动上。例如,事件处理团队不应该对用户报告的电子邮件服务问题做出情绪化的反应,并假设该服务受到攻击就立即采取行动。应仔细听取和记录每一份此类报告(最好在事故报告和处理管理系统中),但只有在分析结果表明发生事故时才应采取行动。"先兆"和"指标"-事件迹象NIST建议文件将事故迹象分为两类——"前兆"和"指标"。"先兆"表明事件可能在未来发生指示器"提供了事件可能已经发生或正在发生的信息。预兆的一个简单示例可能是显示漏洞扫描程序使用情况的web服务器日志的内容。一个简单的指示器示例可能是防病毒软件警报。前兆可用于防止事件发生(例如,cc防御策略,通过阻止漏洞扫描的来源)。然而,很少有实际事件的前兆可供事件响应小组使用。最常见的情况是,用户和/或事件响应团队首先看到的是指标-事件正在发生的迹象。NIST SP 800-61列出了几种不同的前体和指示剂来源。您的事故响应团队可使用此列表检查您是否保留了全面的前兆和指标来源列表。另一方面,你应该将它们与你的事件响应团队的实际处理能力联系起来。无法分析的指标来源毫无价值。分析前兆和指标指示器源每天可以生成数千个(或更多)警报。其中许多可能是假阳性。用户还可以报告大量指标。所有这些迹象都需要分析,以确定是否发生了真正的事故。而且,正如NIST文件所述,事故处理人员面对的信息通常是"模棱两可、相互矛盾和不完整的"。检测真实事件可通过以下组合实现:技术工具;标准操作程序(SOP)——具有一定的灵活性;知识渊博、经验丰富的团队。技术工具用于生成指标,并可能对指标进行初步分析。这类工具的例子可以是IDS/IPS系统、包嗅探器、日志分析器、加密哈希(checksum)验证软件。安全自动化软件在这里也可以是一个有用的工具-见下文。SOP用于标准化处理不同类别事故的方法。其中一些可以自动化。技术工具和SOP必须由一个知识渊博、经验丰富的团队维护和控制,该团队对所指示的事件是否确实是一个事件做出最终决定。自动分析"技术"前兆和指标值得注意的是,国内外高防cdn加速服务,前体和指标可以是"技术"或"人"型。上面给出的简单例子是一个技术先驱和一个技术指标。此类事件的技术迹象可以作为安全自动化软件的输入,该软件进行初步分析,将事件响应团队的时间和资源用于分析"人"型指标,即组织内用户的报告或其他组织的报告(例如,您的组织的IP地址是攻击的来源)。不同来源的事件指示器可以"输入"到一个单一的安全自动化软件中,该软件根据先前定义的标准执行初始分析,并且只在需要人为操作或决策时通知人类。攻击载体NIST SP 800-61列出了几种所谓的"攻击向量",即攻击方法。这些有助于对事件进行分类。由于事件处理团队应基于SOP开展工作,因此这些攻击向量可能是创建第一个SOP列表(如果创建新的事件处理团队)或对现有SOP进行分类并将行动与攻击方法对齐的良好起点。这些攻击媒介例如可移动媒体、网络、电子邮件、盗窃(完整列表见NIST文件)。优先处理事件正如NIST的建议所述,确定事件优先级对于正确处理事件至关重要。将事件响应团队资源用于优先级较低的事件可能会产生严重的风险,即重要事件得不到妥善处理或根本得不到处理。在初步分析后被归类为事件的每个事件都应该被分配一个优先级。应根据优先级处理事件。NIST建议根据以下因素对事件进行优先排序:功能影响(事件对内部业务流程的影响);信息影响(事件对信息保密性、完整性和可用性的影响);可恢复性(从事件中恢复所需的资源和时间)。应优先处理的事件的一个例子是具有高功能影响和高(即简单)可恢复性的事件。需要注意的是,对事件进行优先级排序的过程很难自动化,因为它需要大量的人工输入和人工决策。它还可能需要来自事件响应团队之外的人员的输入。所以我们不建议自动化这个过程,因为自动化可能会对事件处理过程的有效性产生不利影响。记录事件每个事件都应在内部完整记录。这些数据的哪一部分要在组织外部报告,这是另一个决定的问题。记录事件包括:详细记录处理事件所采取的每个步骤;以任何形式保存与事件相关的数据、文件、系统状态、消息、媒体、网络流量和任何其他电子数据。记录事件有两个目的:改进事件处理流程(SOP);保存可能需要的证据,以提高组织系统/数据的安全性,或者在以后发生法律诉讼时用作法庭证据。事故文件和数据可能包含敏感信息,ddos怎么破防御,应予以相应保护。报告事件事件处理SOP应包含事件通知和报告部分。每个事件都应适当地在内部报告,有些事件应该对外报告。NIST SP 800-61列出了应通知的最重要的人员、部门和实体。值得记住的是,安全事件不仅仅是技术事件:它们涉及人力资源、公共关系、法律部门等。此外,正如我们已经指出的,事故通知有相关的法律义务-您的事故响应团队和您的组织应熟悉这些义务并采取相应的行动。(在本系列的下一篇文章中,我们将讨论NIST SP 800-61事件响应生命周期的进一步阶段。)参考文献和进一步阅读NIST SP 800-61——计算机安全事件处理指南ddosdun/5979.html">如何创建解决实际问题的安全流程NIST SP 800-61事件响应小组建议NIST SP 800-61事件响应生命周期介绍NIST SP 800-61事件响应生命周期准备阶段

欢迎分享转载→ H5防御_简析_如何处理ddos攻击

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -