导语:封IP, 在红蓝对抗、日常安全运营、hvv中都是最常见的防御手段。然而,人工封禁的方式存在着大量的工作量,如果有种方式能够更好、更快、更符合SOP流程的话,那安全事件就能够在第一时间进行有效处理。
封IP, 在红蓝对抗、日常安全运营、hvv中都是最常见的防御手段。然而,人工封禁的方式存在着大量的工作量,其中包括情报关联、事件调查、规则判断、封禁、解封。
笔者认为,如果有种方式能够更好、更快、更符合SOP流程的话,那这种方式能够覆盖安全全场景,使安全事件在第一时间得到有效处理。
自动化阶梯封禁,整个剧本设计的难度把所有的功能,按照逻辑点进行子剧本拆分,具体来说有以下几个步骤:
1)事件分类
a. 事件可以根据攻击方向进行分类,攻击方向一般都是内到外、外到内、内到内、外到外。
* 内到外:指的是内部网络向外部网络发起攻击,比如内网渗透到外网。
* 外到内:指的是外部网络向内部网络发起攻击,比如外网入侵内网。
* 内到内:指的是内部网络之间的攻击,比如内网内的恶意软件传播。
* 外到外:指的是外部网络之间的攻击,比如两个不同网站之间的恶意竞争。
每个攻击方向都做成一个剧本实现。
2)情报获取
a. 通过开源情报、商业情报等各种产品对IP信息进行情报分析,获取攻击者的地理位置、历史攻击记录等信息,为后续的封禁提供依据。
3)封禁规则
a. 封禁规则这里是核心逻辑,不同规则有不同的封禁时间。可以设置复杂逻辑,甚至可以进行历史威胁统计分析后进行封禁。例如,可以根据攻击者的攻击频率、攻击时间、攻击目标等因素来设置不同的封禁时间,以达到最优的防御效果。
b. 可以设置复杂逻辑,甚至可以进行历史威胁统计分析后进行封禁。
4)封禁处置
a. 封禁在防火墙或者WAF上执行,通过添加封禁规则或者黑名单等方式实现封禁。同时,也可以将封禁信息同步给其他安全设备,以实现协同防御。
5)定时解封
a. 这里我们使用剧本节点中的定时执行能力,进行延时解封。例如,可以在凌晨时分进行解封,避免影响正常业务。同时,也可以根据实际情况进行手动解封,以应对一些特殊情况
至此,自动化阶梯封禁已经实现,我们只需要在事件管理中配置一个事件类型绑定 XXX安全处置 剧本后在进行 事件接入 就可以实现自动化。
添加一个事件类型:
配置一个事件接入:
自动封禁我们就实现啦~
如若转载,请注明原文地址
