想要自查并提高网络安全应急响应能力?
想要快速增加安全运维人员的实战经验?
想要针对安全防御体系的薄弱点进行改善?
最好的方式是攻防实战演练,而安全事件应急处置是其中非常重要的环节。
在这个环节上,防守方会遇到各种问题。
实时封堵攻击IP,太疲劳
发现攻击流量时,一般有三种处理方式:
1、阻止会话;
2、阻止会话并短暂封堵IP;
3、阻止会话并长期封堵IP。
攻防演练场景中,防守方无法预知攻击方使用的手段和工具。安全设备也许拦截了这次攻击,但谁也不敢保证可否拦截下次攻击乃至所有攻击。
因此,防守方需要实时封堵攻击IP,阻止这一IP的后续攻击,迫使攻击方不断更换IP或放弃攻击,提高攻击成本。
这使得防守方非常疲劳,甚至需要7*24小时不间断值守。
恶意地址众多,黑名单不够用
网络中恶意IP和域名数量众多,某威胁情报平台中记录的数量就达千万级别。
而一般防火墙的黑名单数量只有几千个到几万个不等,在攻防演练场景中,这种数量级的黑名单完全不够用。
防守方需要可以支持更多IP封禁条目的安全产品。
人工封禁,效率低
目前,应急处置方式多为:出现告警后,人工配置将攻击IP加入黑名单,这种方式的问题是时效性差。
如果攻击方找到突破点,在几分钟内就可以入侵系统,完成信息盗取或系统破坏,人工封禁方式可能无法及时处置。
在攻击比较集中的时间段,同时会有上百条告警,人工逐一下发封堵配置效率低。
防守方还需要更高效、自动化的应急处置方式。
自动化安全事件应急处置
千万数量级恶意地址拦截
为解决这些问题,安博通推出面向网络攻防场景的应急拦截网关产品。
· 专业应急处置:串行或旁路部署在网络出口前端,对恶意IPv4/IPv6地址、域名地址进行100%拦截,不给攻击者留下探测或扫描的机会。
· 千万级黑名单:支持千万级黑名单规则,满足海量离散IP地址封禁需求;过期规则自动删除,无需人工参与,应急处置游刃有余。
· 急速匹配生效:查询匹配过程中,Hash算法只需读取一次内存,减少查询时间,实现高速匹配;通过Hash桶方式存储匹配规则,新增或修改规则时无需对整体进行处理,加快配置生效速度,减少系统资源消耗,还可避免哈希冲突。
· RESTful API:通过REST API与安全数据平台联动,将情报数据转化为实际封堵行为,扩展其价值;配合完成“检测-分析-拦截”全自动化处置,缩短攻击者可利用时间,让其无可乘之机。
应急拦截网关具有容量大、响应快、可靠性高等特点,面向攻防演练场景,助力防守方轻松完成安全事件的应急处置。