在可预见的几个月时间里,封禁无疑会成为最有效且最常用的防御姿势,没有之一。无论是防守小白,还是资深专家都深谙封禁之道。不过随着常态化攻防的展开,防御不再只是简单粗暴地封禁,而是变成了超长周期下快速准确地发现并阻止大量威胁、持久地保证安全。
作为防守方,虽然手握几十种检测设备,但单台告警就轻松上万,再加上各种外部商业情报,所有IP都得手工一把梭,导入防火墙或IPS进行封禁。攻击者在你逐个录入黑IP的过程中,早已攻入企业内部。攻防周期拉长之后,手动、堆人头方式做防御,根本扛不住。那些因业务同事怼过流下的泪,多半是误封受过的伤。要么检测不准确,要么手抖写错,误封正常业务出口,原本该封禁的攻击却漏封。常态化攻防下,误封靠“忍”一时,来阻止风险的做法,无法长期持续,而且随着攻防周期变长,误封与漏封情况会更普遍。
不管是通过秒拨、商业代理,还是IP池来切换代理,攻击者IP资源都堪称“用之不竭”。但对防守方而言,随着周期拉长,防火墙/IPS的IP并发封禁数量更易达到瓶颈。这种情况下,要么解封,要么缩短封禁时长,遇到长时间被攻击的情况,则需要从根本上提升设备性能。在攻击周期短的情况下,传统手动封禁或联动防火墙封禁,能解决一定问题,但实际封禁的准确率与人效仍让人担忧。尤其在新的常态化攻防、大批量、不定时攻击发生时,原有方式的不足会更加明显。微步威胁防御系统OneSIG的自动化防御模式,可从不同方面有效解决这些问题,将常态防护效果拉满:
手动模式下,从发现攻击IP,到最终防火墙添加该攻击IP,实现对该IP下一次攻击的封禁,至少需要5步;而联动模式也需要4个步骤。相比之下,OneSIG则可以在检测到攻击后,自动直接封禁。手动模式需要1-2个安全人员,在配合默契、注意力始终非常集中的情况下,1-3分钟才能实现有效封禁;联动模式中,虽然防火墙自身能达到秒级生效封禁,但如果防火墙联动频率较低则存在延迟,通常完成IP封禁需要1-5分钟,且需要安全人员投入一定精力。OneSIG则是在检测到攻击后,直接自动秒级封禁,且无需安全人员值守。在手动模式及防火墙联动模式下,由于此前没有攻击者的“指纹”或“规则”,所以首次攻击都无法被封禁。而OneSIG拥有攻击者情报与入侵防御能力,能在超低误报率前提下,从首次开始就准确拦截攻击行为。尤其在攻击者猛砸0day时,OneSIG凭借内置的数百种0day检测能力,依然能够有效防御,不给攻击者任何可乘之机。由于内存及CPU性能所限,手动模式以及与防火墙联动的模式下,最多可并发封禁5000条IP,而OneSIG最大并发IP封禁数量可达100万条,能够保证重要活动中封禁效果的持续性与稳定性。不仅如此,OneSIG还能自动同步云端红队IP情报,具备丰富的红队IP攻击画像,精准封禁重要攻防期间红队IP,也能自动联动NDR、SOC等不同设备进行封禁,实现防御能力的自动化加持。该能力在2023年攻防演练期间已得到充分验证,累计拦截红队攻击3亿多次,受到不同行业企业广泛认可。
还没有评论,来说两句吧...