一夫当关，万夫莫开 | 威胁情报网关助力2024攻防演练

2024攻防演练将至，红队正步步逼近。从过往经验来看，红队通常首战会使用Web服务漏洞、组件反序列化漏洞等，主要瞄准OA、邮件、CMS等暴露在边界上的系统。对于防守方而言，关键在于如何在攻击过程中，甚至在攻击发生之前，迅速察觉并进行有效响应、阻断攻击，这也是当前面临的重大挑战。

创宇安全智脑威胁情报在多次国家级攻防演练中表现出色，其实时、精准和高价值的特点已得到充分验证。在网络边界防护方面，本地部署的创宇威胁情报网关与创宇安全智脑紧密联动，形成坚不可摧的防线，实现“一夫当关、万夫莫开”。基于创宇安全大数据的联防联控机制，能够直接有效阻挡绝大多数威胁IP的访问，为网络安全筑起一道坚固屏障。

创宇威胁情报网关不仅可以和云端的智脑威胁情报联动，同时也能与本地部署的EDR、NDR、蜜罐等其它网络边界防火墙产品实时联动，接收多个威胁情报源，进行攻击的及时响应和阻断，构筑全网基于安全大数据的联防联控体系，实现防护体系军团协同作战的效果。

威胁情报网关助力2024攻防演练应用要点

1.全面拦截加强安全防护

威胁情报网关通过联动创宇安全智脑高价值威胁情报，从而打造整个网络边界的超强防护。为了确保防护的全面性，威胁情报网关的最佳部署方式是覆盖全部网络，如旁路部署在办公网、业务网出口的核心交换机处，可以触达所有网络空间资产，实现全网络威胁的识别和阻断。

2.提前拦截实现主动防御

配置好威胁情报网关的自动威胁情报数据同步后，每日可从创宇安全智脑获取最新威胁情报数据，包含了攻击队的新型攻击手段和路径。将这些最新的威胁情报数据中的高危、中危情报设置为网关的阻断情报，能够实现攻击发生之前迅速识别并阻断疑似攻击队的行动，极大提升了前期防御能力，做到了主动防御。

3.实时联动确保防御精准

基于知道创宇自生产和自消费的威胁情报生成体系，为众多产品注入了强大安全动力，服务了百万客户，并保证了情报的准确性。同时，自生产的威胁情报准实时持续更新，确保了情报的时效性。而威胁情报网关通过实时联动，可以获得最新的情报数据，进一步保证了拦截的精准性。

4. 基于双向阻断机制的网络边界堡垒

依靠创宇安全智脑自主生产的威胁情报，系统能够精准识别并快速阻断外部威胁，例如红队的IP地址。此外，系统还能自动识别并阻断弱口令和撞库等危险行为。对于内网风险，系统支持检测并阻断各种风险行为，包括但不限于失陷主机的管理、数据向外泄露、远程控制及威胁的外部连接。系统还提供自定义黑白名单功能，允许用户针对内外部威胁进行双向阻断，可以自定义安全IP的加白或加黑，并对黑名单IP执行告警阻断，同时对白名单IP进行放行处理。

5.  双向API支撑多源威胁情报联动能力

基于本地已部署的WAF、IPS、SoC等网络安全设备，提供双向API，连接企业内部特有情报数据源聚合分析，打造高价值、高可用、高可靠的威胁情报体系架构。第三方可以通过 REST或gRPC 推送威胁情报至威胁情报网关，网关可对威胁情报进行管理，根据实际需求进行阻断；威胁情报网关可以将用户自定义黑白名单及被阻断IP通过消息队列实时推送至第三方产品。

6.  多维度数据分析与深度追踪

威胁情报网关还提供了一个全面的威胁分析和追踪可视化界面，其数据报表涵盖威胁阻断统计、IP情报查询和访问详情，可以帮助用户从多角度评估威胁态势，分析常用攻击手段，以及监控高风险IP的行为模式。

总结

攻防演练最终目标是通过实战化的攻防对抗，切实找到关键信息基础设施防护中的弱点并进行针对性加强，将攻防对抗中有效的防护设备和手段在常态化网络安全运营中进行固化落地。在以往的攻防演练和常态化重保中，创宇威胁情报网关已经成功的帮助多个党政机关、央企集团、金融单位实现了攻防演练防护能力的提升，为客户获得了加分并取得了良好成绩。