凌晨三点,某企业安全中心警报骤响。
一个来自国外的IP正低频试探某OA系统。这个IP每周只出现1-2次,每次尝试3种不同Payload,不过使用的代理IP,却遍及12个国家。
然而,传统防御系统却将这个高级攻击误判为“一般扫描”并放行。尽管期间系统对其他大量普通攻击自动封禁了上千个IP,但真正的高级威胁已经潜入。两周后,该攻击者通过这条被“放行”路径,直接拿下了企业的核心数据库权限。
封了无数个IP,却漏掉了最危险的。这也是当前IP封禁遇到的难题之一。当攻击手段越来越高级,传统IP信誉显得捉襟见肘。攻击者一换上“低慢小”战术马甲,传统一维IP防御就像盲人摸象:
看不见:攻击者低频渗透,混入海量低危扫描噪音之中,IP规则库难捕捉;
认不出:代理IP每秒切换,黑名单库更新赶不上攻击IP“变脸”速度;
读不懂:即便捕捉到攻击IP,也无法解答“到底是谁在攻击”“下次何时再来”等关键问题......
究其原因在于,传统静态、孤立、没有上下文的一维IP信誉只会贴标签,但应对高级定向攻击的本质是“攻击者画像”的博弈。
三维IP信誉:从贴标签到攻击者画像
要透过IP,掌握攻击者背后战术意图,IP信誉必须进化出三种能力:意图解读、伪装拆穿以及威胁定级,从单纯贴标签,变成给出攻击者画像。这也是微步X情报社区及下一代威胁情报平台NGTIP 的IP信誉2.0对传统一维IP信誉的核心升级:
深度画像:从告诉“做了什么”到“为什么攻击”。IP信誉2.0从原本一维的漏洞利用、扫描等扁平化标签,升级为可查看IP背后攻击路径、攻击应用、反连地址等深度攻击链信息,做到攻击意图准确解读;
广度画像:全网情报雷达,拆穿伪装。基于微步全网部署的蜜罐HFish集群节点,每天感知到的随机扫描及漏洞攻击日志上亿条;微步情报网监测到的活跃僵尸网络肉鸡,活跃级别千万级;微步全网测绘主动探测感知数千万活跃代理及VPN地址,数十万黑客工具等,能精准拆穿IP伪装;
活跃度画像:用时间维度预判攻击节奏。IP信誉2.0提供IP在蜜罐中出现的频率、时间维度等信息,可直接区分对方到底是“低阶扫描”还是“定向渗透”,准确识别APT等高级攻击。
以某IP利用WebLogic漏洞攻击为例,给各位师傅还原“传统一维IP信誉”与微步IP信誉2.0的“三维IP信誉”对同一个攻击IP的解读:
按照传统一维IP信誉标准,对该IP得出的结论是赶紧封禁IP。但按照升级后的三维IP信誉分析,得到的结论是:这是某个APT组织针对某个行业发起的攻击,需要立即阻断C2通信并排查相关系统。
三维IP信誉,给IP建立了一个三维IP档案,看到的不只是标签,而是攻击者画像。通过三维IP信誉,能看到更多攻击者情报,更有利于安全团队做出更精准的安全决策。
多维实战应用:
降噪、自动攻击、黑产与风控
从单一维度的静态黑名单,到三维IP攻击画像,升级后的IP信誉,不仅可以发现APT等高级威胁,也能更有效应对以下几种场景:
· 告警降噪:筛掉99%噪音,锁定1%真相
传统防御只能无差别封禁IP,而三维的IP信誉2.0通过深度画像解析攻击载荷特征,能把无害的扫描流量自动归档。在识别僵尸网络IP集群后,IP信誉2.0能联动第三方设备批量剿灭;通过活跃度画像,能专门捕获低频高危行为,进而推送给人工研判,最终筛掉噪音,给安全团队留出更多时间进行威胁追踪。
· 自动化攻击治理:秒级应对海量IP
治理自动化攻击,关键在于速度。面对蠕虫病毒操控的海量IP,三维IP信誉的广度画像,能通过比对攻击工具、目标端口、Payload相似度,在数秒之中完成IP行为的聚类,将分散的IP归类为“僵尸网络集群”,触发全网协同封禁,相比于人工传统的分析手段,响应时间可压缩到秒级水平。
· VPN/代理对抗:脱掉黑灰产“马甲”
破解VPN/代理伪装,主要依赖三维IP的广度与活跃度画像。当监测到某个IP段突然涌现密集登录请求时,微步IP信誉2.0会关联这些IP的地理位置跳跃规律,同时会识别机器操控的毫秒级响应特征,标记VPN/代理IP,识别电商薅羊毛、撞库攻击等伪装流量,有效应对黑灰产。
· 风控协同:给业务系统植入安全基因
风控场景下,NGTIP/X情报社区的三维IP信誉,会基于深度画像分析产生的Payload分析,广度画像分析产生的代理关联,活跃度画像得到的波动结果,对IP进行风险评分,输出IP风险画像。当高风险IP尝试登录时,会自动触发二次验证或限流,可辅助金融反欺诈决策。
三维IP信誉应用远不止以上提到的安全运营场景,也欢迎体验探索出更多可以发挥价值的场景。希望有了它,师傅们再也不用浪费时间和攻击者的IP地址玩捉迷藏,从而摆脱IP告警噪音,及时发现真正的威胁。
联系微步
扫码立即沟通试用
