企业动态

    众所周知，在攻防演习期间，封堵攻击者最直接也最有效的方法，就是把攻击者使用的IP地址找出来，然后封禁掉，这样一来攻击者就会因为暂时无法访问目标系统而被迫中断攻击行为。

    有人说了，封禁IP这件事情还不简单么，你把IP提交给防护设备，这不就完事了吗？

    话虽如此，但是在“发现一个，封一个”的过程中，往往因为告警太多，漏报误报也多，以及从各类群聊、社区中获取的黑IP信息真真假假，导致安全运维人员对攻击者IP发现不准、封禁不准，发现不及时、封禁不及时，最终让攻击者一次次占得主动权，造成演习失分。

    首先，攻击者IP发现不准，导致运维人员漏封IP或者错封IP。漏封IP，意味着打算作案或者正在作案的攻击者，眼睁睁从监测者的眼前逃脱。而错封IP，则会造成客户业务不能正常进行，遭到客户投诉，甚至要求对业务损失进行赔偿。

    其次，攻击者IP发现不及时，导致运维人员对攻击者IP封禁不及时，也让攻击者有了更多的时间进行攻击。踩点、利用、渗透.....整个攻击过程，安全运维人员也许毫无感知，甚至被“打穿了”都浑然不知。

    显然，如果防守方客户能精准、及时发现攻击者IP情报，那么攻击者打算攻击的阴谋就会破灭，正在进行的攻击会戛然而止，已经进行完的攻击也会被及时追溯。而防守方，则掌握主动权，对攻击者的整个攻击链行为了如指掌，尤其是能在攻击者进行攻击前（如：攻击者踩点阶段）就提前做好准备。

    对此，奇安信天眼威胁监测与分析系统（简称：天眼）正式上新“天眼攻击源IP预警”功能，帮助防守方的安全运维人员，在攻防演习中得到精准、及时的攻击者IP情报，准确、快速封禁攻击者IP。从而在攻击者攻击之前收到预警信息，抢夺主动权，防患于未然，并提升对安全事件的处置和响应速度。

    预警快一步，防守更主动

    在攻防演习中，使用了攻击源IP预警功能的天眼客户，如果被攻击后产生了告警，就会将该攻击者的IP上送到天眼云中心“广播站”，并对其他使用攻击源IP功能的天眼客户进行“广播通知”。此时，收到广播通知的其他天眼客户，就会与自身本地的告警和日志进行匹配。

    在告警与日志匹配过程中，其他客户一旦发现有同样的攻击者IP足迹，大概率就能确定这个IP是攻击者IP。

    而且，如果在日志匹配中，有客户恰巧看到：该攻击IP进行了探测，但并未进行攻击。那么此时，该客户紧急对该IP进行封禁，就会避免被攻击者再次登门到访或者进行攻击，也就真正实现了预警快一步。

    攻击IP既全又准，一键封禁更便捷

    同时，为帮助安全运营工程师全面、精准掌握攻防演习期间的攻击队IP，又不和日常的攻击者IP混淆，天眼攻击源IP预警特别更新了以下功能：

    首先，攻防演习攻击队IP更准。

    如果在攻防演习期间，有10位及以上参加演习的天眼客户，都发现同一个天眼攻击源IP，那么基本就能判断出：该IP属于本次攻防演习的攻击队。天眼也会为此类IP打上“2023攻防演习的标签”，提示客户重点关注或者选择封禁处置。

    其次，攻防演习攻击队IP更新鲜。

    天眼“攻击源IP预警”，利用推荐热度算法，鼓励客户对攻击IP进行“星级”标注，“星级”越高，代表参加攻防演习的天眼客户对于该IP的关注程度越高，攻击程度及威胁程度也越严重。此时，客户可以挑选“高星级”的IP，选择一键进行封禁处置。

    进一步点击星级标注，安全运维人员还能看到已经有多少家攻防演习单位关注了该IP，以及其他客户多采用何种处置方式封禁（临时封禁/永久封禁），为安全运维人员提供了更有参考价值的攻击者IP信息，也大大节省了对攻击IP的处置时间。

    第三，攻防演习攻击队IP更全。

    在天眼攻击源IP预警功能中，除了天眼客户的运维人员上传攻击源IP，奇安信强大的安服团队人员也会在防守客户侧实时上传攻击者IP。而且，还整合了奇安信白泽攻击者画像系统、奇安信威胁情报中心、奇安信攻击诱捕系统等多方数据源，让攻击者IP信息更全面丰富。

    当然，为了确保第三方数据的准确性，上述多方数据源会进行交叉验证，对数据进行清洗、过滤，让同步给客户的攻击源IP信息在全面的基础上，也更精准、更可信。

    客户案例

    时间：某次实战攻防演习期间

    单位：某国有企业A、B两个相同体量的单位

    A单位使用天眼攻击源IP预警功能后，实现了0攻陷记录，0宕机，有效发现和封禁38000多个攻击源IP和可疑IP，比没使用天眼攻击源IP预警功能的B单位少失分近70%。

    据A单位的安全运维人员反馈：

    （1）在使用天眼攻击源IP预警功能前，通过各个渠道搜集的攻击者IP并不好用，一是真假参半导致封禁错，二是消息滞后导致封禁不及时。

    （2）而使用天眼攻击源IP后，攻击IP更加真实，而且消息基本都是一手新鲜的，上午的攻击IP基本不会在下午才看到，“确实是安全运维人员封IP的好帮手”。

    原来，防守方的安全运维人员一个人孤军奋战，到头来还是落得个“封IP一时爽，客户投诉悔断肠”。现在，有了天眼“攻击源IP预警”功能，防守方的安全运维人员不再是一个人，他的身后将是一整个由天眼客户组成的防守联盟，实现攻击源IP数据共享生态，共同将攻击者拒之门外，真正实现：轻轻松松，防住攻击！

    本文示意图片素材来源于网络