想要自查并提高網(wǎng)絡(luò)安全應(yīng)急響應(yīng)能力?
想要快速增加安全運維人員的實戰(zhàn)經(jīng)驗?
想要針對安全防御體系的薄弱點進(jìn)行改善?
最好的方式是攻防實戰(zhàn)演練,而安全事件應(yīng)急處置是其中非常重要的環(huán)節(jié)。
在這個環(huán)節(jié)上,防守方會遇到各種問題。
實時封堵攻擊IP,太疲勞
發(fā)現(xiàn)攻擊流量時,一般有三種處理方式:
1、阻止會話;
2、阻止會話并短暫封堵IP;
3、阻止會話并長期封堵IP。
攻防演練場景中,防守方無法預(yù)知攻擊方使用的手段和工具。安全設(shè)備也許攔截了這次攻擊,但誰也不敢保證可否攔截下次攻擊乃至所有攻擊。
因此,防守方需要實時封堵攻擊IP,阻止這一IP的后續(xù)攻擊,迫使攻擊方不斷更換IP或放棄攻擊,提高攻擊成本。
這使得防守方非常疲勞,甚至需要7*24小時不間斷值守。
惡意地址眾多,黑名單不夠用
網(wǎng)絡(luò)中惡意IP和域名數(shù)量眾多,某威脅情報平臺中記錄的數(shù)量就達(dá)千萬級別。
而一般防火墻的黑名單數(shù)量只有幾千個到幾萬個不等,在攻防演練場景中,這種數(shù)量級的黑名單完全不夠用。
防守方需要可以支持更多IP封禁條目的安全產(chǎn)品。
人工封禁,效率低
目前,應(yīng)急處置方式多為:出現(xiàn)告警后,人工配置將攻擊IP加入黑名單,這種方式的問題是時效性差。
如果攻擊方找到突破點,在幾分鐘內(nèi)就可以入侵系統(tǒng),完成信息盜取或系統(tǒng)破壞,人工封禁方式可能無法及時處置。
在攻擊比較集中的時間段,同時會有上百條告警,人工逐一下發(fā)封堵配置效率低。
防守方還需要更高效、自動化的應(yīng)急處置方式。
自動化安全事件應(yīng)急處置
千萬數(shù)量級惡意地址攔截
為解決這些問題,安博通推出面向網(wǎng)絡(luò)攻防場景的應(yīng)急攔截網(wǎng)關(guān)產(chǎn)品。
· 專業(yè)應(yīng)急處置:串行或旁路部署在網(wǎng)絡(luò)出口前端,對惡意IPv4/IPv6地址、域名地址進(jìn)行100%攔截,不給攻擊者留下探測或掃描的機會。
· 千萬級黑名單:支持千萬級黑名單規(guī)則,滿足海量離散IP地址封禁需求;過期規(guī)則自動刪除,無需人工參與,應(yīng)急處置游刃有余。
· 急速匹配生效:查詢匹配過程中,Hash算法只需讀取一次內(nèi)存,減少查詢時間,實現(xiàn)高速匹配;通過Hash桶方式存儲匹配規(guī)則,新增或修改規(guī)則時無需對整體進(jìn)行處理,加快配置生效速度,減少系統(tǒng)資源消耗,還可避免哈希沖突。
· RESTful API:通過REST API與安全數(shù)據(jù)平臺聯(lián)動,將情報數(shù)據(jù)轉(zhuǎn)化為實際封堵行為,擴(kuò)展其價值;配合完成“檢測-分析-攔截”全自動化處置,縮短攻擊者可利用時間,讓其無可乘之機。
應(yīng)急攔截網(wǎng)關(guān)具有容量大、響應(yīng)快、可靠性高等特點,面向攻防演練場景,助力防守方輕松完成安全事件的應(yīng)急處置。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )