應急響應包含哪些關鍵技術

應急響應包含以下關鍵技術：

• 網絡追蹤技術：網絡追蹤技術又可分為主動追蹤和被動追蹤。主動追蹤技術主要利用信息隱藏技術，例如針對HTTP協議，在返回的HTTP報文中加入不易察覺并有特殊標記的內容，從而在網絡中通過檢測這些標記來定位網絡攻擊的路徑。被動追蹤技術基于網絡的本身特性，例如利用數據在連接鏈中流動時應用層數據基本不變的性質，對應用層數據進行摘要（通過Hash函數），根據摘要進行有效追蹤，從而找出攻擊軌跡。

• 計算機取證技術：現在的計算機取證技術已經發展到動態的信息監控和證據獲取。動態取證是將入侵檢測系統、防火墻、蜜罐等網絡安全技術緊密結合起來，實時獲取數據并采用智能分析技術，實時檢測入侵，分析入侵企圖，在確保安全的情況下，獲取入侵者的大量證據，同時將這些證據進行保全、提交的過程。這些證據包括正在運行的主機中的內存數據、進程信息、交換文件、網絡狀態信息、日志文件以及運行在網絡中的網絡數據包。動態取證技術能及時地獲取入侵證據，因此獲取的證據更全面、可靠，同時系統通過實時分析入侵者的企圖，采取相應的防御措施，切斷或追蹤入侵途徑，可以將入侵造成的損失降到最低。由于動態取證過程更加系統化并具有智能性，也更加靈活多樣，因而已經成為計算機取證技術的新的發展方向。

• 網絡誘騙技術：蜜罐與蜜網的核心技術是欺騙誘導技術和數據捕捉技術。欺騙誘導技術對于蜜罐至關重要，蜜罐只有在受到黑客攻擊時才能體現其價值，沒有黑客的活動，蜜罐建得再好也只能是對資源的閑置和浪費。欺騙誘導技術是使蜜罐系統在網絡上與真實的主機系統難以區分。數據捕捉技術是蜜罐的核心，就是在不被入侵者察覺的情況下盡可能多地捕捉、收集他們的活動并存放在安全的地方，并且要確保捕獲的攻擊數據的準確性、完整性和時效性。

應急響應中應該關注以下指標：

• MTTD平均檢測時間：MTTD是指從系統故障到檢測或告警所需的平均時間，例如某系統在12：00發生故障，但直到12：10才有人注意到或被提醒，那么此時MTTD是10分鐘。

• MTTA平均確認時間：MTTA是指從系統產生告警到人員開始注意并處理的平均時間，例如安全組件在12：10檢測并發送告警后，應急響應人員在12：15開始處理該事件。那么此時MTTA是5分鐘。

• MTTI平均調查時間：MTTI是指從確認一個安全事件到開始調查其原因和解決方案的平均時間，例如某安全運營人員在12：15開始處理告警并在12：30完成初步分析及擬定止損方案。那么此時MTTI是15分鐘。

• MTTC平均遏制時間：MTTC是指安全團隊找到威脅者并阻止他們進一步進入你的系統和網絡所需的時間，例如自安全事件在12：10被檢測到后，應急響應人員在12：45成功遏制了攻擊者的利用方式并阻斷了通訊隧道，有效地防止攻擊者進行下一步入侵。

• MTTR平均響應時間：是指從第一次收到警報時起，直到產品或系統從故障中恢復所需的平均時間，例如一周內有10次停電，修復系統花費了4個小時。四個小時是240分鐘。240除以10是24。這意味著在這種情況下，修復的平均時間是24分鐘。

回答所涉及的環境：聯想天逸510S、Windows 10。