網(wǎng)絡(luò)安全應(yīng)急響應(yīng)有哪些問題
“應(yīng)急響應(yīng)”對應(yīng)的英文是“Incident Response”或“Emergency Response”等,通常是指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。那么,網(wǎng)絡(luò)安全應(yīng)急響應(yīng)有哪些常見問題呢?學(xué)習(xí)啦小編帶大家來了解。
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)目前狀況和主要問題有以下幾點:
1、重防輕治,以防代治。目前網(wǎng)絡(luò)安全產(chǎn)品以安全防御為主,如防火墻、入侵檢測、入侵防御、防毒軟件,以及網(wǎng)絡(luò)細分、流量監(jiān)視、流量控制等等,但網(wǎng)絡(luò)安全應(yīng)急救治的產(chǎn)品卻處于稀缺或空白的狀態(tài)。其表現(xiàn)為基于網(wǎng)絡(luò)安全防御體系的技術(shù)水平現(xiàn)狀,系統(tǒng)漏洞隨著時間推移陸續(xù)顯露,新病毒總量每年以超幾何級數(shù)增長,黑客及病毒的技術(shù)含量不斷提高和攻擊手段不斷翻新,黑客及病毒突破和破壞現(xiàn)有網(wǎng)絡(luò)安全防御體系、劫殺和禁用防毒軟件現(xiàn)象屢有發(fā)生,特別是爆發(fā)的大規(guī)模傳染性網(wǎng)絡(luò)病毒對提供公共服務(wù)的機構(gòu)造成社會公共安全事件時有發(fā)生。
2、網(wǎng)絡(luò)安全應(yīng)急響應(yīng)尚處于簡單低級層次。事前制定的應(yīng)急響應(yīng)預(yù)案總難以有效應(yīng)對尚且未知的病毒及網(wǎng)絡(luò)攻擊,匆忙趕赴現(xiàn)場,無奈斷網(wǎng)恢復(fù),或簡單備機切換,大多數(shù)公司網(wǎng)絡(luò)安全應(yīng)急響應(yīng)現(xiàn)狀如此,與黑客病毒實施的遠程入侵控制相比,技術(shù)和手段完全處于非對等的劣勢地位,缺乏一種快速響應(yīng)、與黑客病毒決勝于千里之外的能力。
3、安全防御與應(yīng)急救治能力失衡,單純防御必造成投入邊際收益率遞減,投資者裹足不前。“預(yù)防為主,防治結(jié)合”,這句話人人耳濡目染,但前半句的正確性和合理性成立是有條件的。安全防御與應(yīng)急救治,兩者的關(guān)系如同醫(yī)學(xué)上疾病防疫與疾病救治的關(guān)系一樣,以此類比聯(lián)想,是否所有疾病都可防疫的呢?突發(fā)急病是找治病的醫(yī)生,還是找疫防的醫(yī)生呢?百把元即可治愈的流感有人肯不計成本的去預(yù)防它呢?答案是肯定的:1.可預(yù)防的;2.預(yù)防成本小于救治成本,這才是“預(yù)防為主,防治結(jié)合”正確性和合理性成立的前提條件。
4、進攻與防御,對攻防雙方而言,如同矛與盾關(guān)系一樣,沒有無堅不摧的矛,也沒有堅不可摧的盾,兩者相生相克,此消彼長。防御系統(tǒng)和防毒軟件處于明處,往往成為攻防實驗室網(wǎng)絡(luò)攻擊秘密武器絕佳的靶子。基于特征碼識別和基于行為模式識別的防毒軟件需要從已知病毒提取特征碼和從已知病毒學(xué)習(xí)行為模式,所以不可能識別具有未知特征碼的未來病毒和具有未知行為模式的未來病毒。由于防御系統(tǒng)和防毒軟件在系統(tǒng)防御中所處位置以及上述原因,決定了率先被突破、被劫殺的正是它們,由此進入網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的階段。
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)最本質(zhì)特征就在于應(yīng)急救治,應(yīng)急體現(xiàn)在實時響應(yīng),救治體現(xiàn)在具有決勝于千里之外的能力。實際上,難不在于實時響應(yīng),而在于入侵檢測、病毒識別。若不能解決入侵檢測、病毒識別問題,就無法阻擊入侵、查殺病毒,現(xiàn)場情況不明,縱有詳盡完備的應(yīng)急響應(yīng)預(yù)案,也只能匆忙趕赴現(xiàn)場,無奈斷網(wǎng)恢復(fù),簡單備機切換,而事后取證和補救措施便也成為無的之失,流于形式,這難以滿足網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)社會化、專業(yè)化發(fā)展的要求,更不要說應(yīng)急響應(yīng)中心或應(yīng)急呼叫中心了。