26、网络安全事件响应与技术趋势应对

网络安全事件响应与技术趋势应对

1. 受感染主机的控制方案

控制受感染主机的另一个选择依赖于 DNS 这一基础互联网协议。收集 DNS 流量有助于安全监控，同时 DNS 从缓解角度也很有用。RPZ 可帮助创建相当于 DNS 防火墙的机制，它提供四种不同类型的策略触发器来控制客户端可解析的域名：
- QNAME 策略触发器 ：当按 IP 地址阻止外部 C2 系统不够灵活时，可根据客户端查询的名称定义策略，控制递归名称服务器处理查询的方式。
- IP 地址策略触发器 ：若基于 QNAME 的策略不够，该触发器可阻止所有解析到特定 IP 地址的域名。
- NSDNAME 策略触发器 ：可针对恶意名称服务器本身，通过名称服务器的名称触发策略。
- NSIP 策略触发器 ：通过名称服务器的 IP 地址触发策略。

RPZ 策略存于特殊区域，便于对任何域名进行权威管理。其响应灵活，既可以返回 NXDOMAIN 记录进行标准阻止，也能进行伪造响应，将客户端重定向到内部名称以获取更多其与外部域名活动的信息。不过，RPZ 仅在 BIND DNS 服务器中受支持，微软 DNS 服务不支持，但微软 DNS 服务器可指向权威 BIND DNS 服务器来使用 RPZ 功能，只是目前无法在微软 DNS 服务器自身的响应区域添加主机。

2. 事件交接与角色责任

事件交接需基于组织内对角色和责任的共同理解。就像足球队员，技能应与所担任的位置匹配，随意跨角色会影响本职工作效率。安全调查员虽与安全架构师有