在常态攻防对抗中,安全运营人员每天会处理海量的低危事件,尤其在国家级攻防对抗中,低危事件的信息爆炸式增长将增加技术人员的研判时长。在常态运营和攻防对抗中,以往会忽略掉这些有价值的低危事件信息。
低危事件存在两种情况,一种为确定是低危事件,另一种由高水平混合型威胁触发的攻击。从安全检查的角度,高手触发低危的策略会比更高危的安全事件容易。除了正常的攻防演练,不排除来自于其他非国内有超强能力的个体发起攻击。
低危事件的的信息,可以通过多个安全产品API和日志中快速存取,基于来源IP地址、攻击类型、事件等级等相关数据信息。
低危事件需要网格化分类处置
对于低危事件处置方式,以网格化方式对低危事件处理。划分为各干区域,针对于各个区域低危事件进行划分,进行安全事件处置。
低风险攻击恶意标签
01
互联网侧检测到低风险攻击行为,通过联动微步TIP本地化快速查询威胁情报,获取攻击者IP标签信息,包括恶意扫描、端口探测、钓鱼邮件、傀儡机等相关标签,对于符合情报标签的IP地址实现自动化IP地址封禁。尤其是夜间时间针对低危攻击事件执行更严格策略,查询攻击源IP情报标签和物理位置是否为特定国外地址(非海外分支机构所在城市),满足其中一项即可执行自动化封禁操作。
微步在线本地TIP对于低危事件处置,提供三个优势能力:
本地API特定恶意标签查询
基于源IP地址国家或城市级定位
API的配置可以登录到微步在线开通
1.1
(上图源于TIP平台API授权界面)
部分处置查询结果
1.2
(上图源于华胜久安自动处置平台查询本地TIP获取)
VPN账户低危事件
02
VPN可以为远程办公人员和子企业用户提供便利服务,虽然VPN认证通过账户口令、短信验证码、电子口令等多重认证方式。一旦在线VPN用户执行恶意程序,造成VPN认证间接绕过,此时VPN用户信用值为最低。基于重点监测VPN用户异常行为,即使为低危告警事件,也需要重点关注。
在安全事件监测中发现有VPN用户产生低危告警事件,结合自动化处置平台调用VPN产品API及时下线并封禁VPN账户,通过语音、短信、微信、钉钉等相关工具第一时间通知研判分析人员,并针对低危攻击事件快速分析判断及时止损,提升安全人员应急响应能力。
高频次低危风险事件
03
常见低危攻击事件包括:端口探测、密码爆破、目录遍历、未授权、信息泄露等低危攻击事件,互联网区域侧尤其严重,每天会产生海量低危攻击事件,安全人员无暇应付针对上述攻击行为,并重点关注中高危以上相关事件。
攻击者在互联网区域侧对业务系统进行信息收集,针对满足互联网低危攻击高频次自动化处置封禁,防止攻击者更进一步对业务系统产生危害。通过自动化处置封禁攻击者IP地址,对抗攻击者地址大量的互联网地址请求,使攻击者攻击行为无效化。
白名单低风险事件处置
04
在自动化封禁过程中为了防止误封导致影响业务系统正常运行,需要提前梳理白名单包括:VPN地址池、业务系统、内网终端、下属单位外网、下属单位专线等相关地址。虽然针对上述地址均已加白,不会自动化处置。但白名单地址并不是完全可信,也需要动态调整白名单地址防护规则。
VPN地址池白名单:
通过监测VPN地址产生低危事件,通过API调用及时针对攻击源VPN账户进行处置。
内网终端白名单:
内网终端属于安全风险重灾区,针对内网终端到业务系统访问产生低危事件需要及时关注,分析安全产品相关告警事件进行事件判断,并对安全防护产品规则优化进行降噪。内网终端外连低危行为,结合威胁情报分析外连地址或域名标签自动化阻断外连地址并及时通知安全研判人员。内网终端横向攻击或攻击域控等相关低危事件,需及时告警通知下线终端。
业务系统白名单:
业务系统一般部署在内网重要安全区域中,监测低危事件告警频次自动化通知安全研判人员与业务系统人员进行分析,并针对误报情况在安全产品进行降噪,业务系统中存在风险进行整改。
下属单位外网白名单:
下属单位也存在访问集团总部业务相关的攻击事件,结合高频次攻击和威胁情报标签,通过自动化方式移除白名单地址并通知下属单位安全协调人员通知下属单位进行安全事件通报进行整改。整改完毕后以人工审核方式重新添加到白名单。
下属单位专线白名单:
下属单位专线访问业务系统,监测低危安全事件结合高频次攻击,及时针对下属单位地址进行封禁并移除白名单,并自动化通知安全研判人员与下属单位协调人员沟通处置情况。整改完毕后,重新添加到白名单地址中。
总结
结合低危漏洞以更低要求的发现能力,给攻击者制造困难。同时处置低危漏洞是一种主动权的掌握,是寻求先发制人的手段,而不至于等待入侵成功时的被动受制于人。