入站攻击精细化封禁
场景说明
在遭受来自互联网的攻击时,仅仅根据安全设备告警封锁攻击IP地址可能误伤正常用户。借助X威胁情报API可以获取IP地址丰富的上下文信息,以便制定更精细的封锁策略,避免误封带来的影响。
使用的X情报API
IP信誉API:https://x.threatbook.com/v5/apiDocs/ip/reputation
核心字段
is_malicious:是否为恶意IP。true代表恶意,false代表非恶意。
judgments:IP地址的威胁情报判定标签,用于精细化过滤需要封禁的类型。
confidence_level:IP信誉情报信息的可信度
具体使用方法
使用步骤说明
-
从所有的网络流量告警日志中,筛选出从互联网侧向服务器区主动发起攻击的告警日志(攻击方向为外对内),并提取互联网侧的攻击源IP地址。如果告警日志中没有标记攻击源IP地址,可以从访问源IP地址,或者X-Forward-For字段中(有负载均衡的情况)进行提取。
-
将攻击源IP地址作为请求参数,调用IP信誉API进行查询。
-
基于IP信誉API的返回结果字段,从情报角度获取该IP地址的封禁建议:
| 策略类型 | 命中的条件 | 策略说明 |
|---|---|---|
| 防误封策略 | judgements in ("Gateway","Mobile","Backbone","CDN") | 该IP地址是网关,移动基站,骨干网或CDN,不建议直接封禁。 |
| 激进策略 | is_malicious=true && judgements not in ("Gateway","Mobile","Backbone","CDN") | 封禁所有判定为恶意的IP地址,除非该IP地址是网关,移动基站,骨干网或CDN。该策略会最大程度封禁恶意的IP地址,但存在误封的可能,建议在仅在重保高强度攻防对抗期间并搭配阶梯封禁策略进行使用。 |
| 普通策略 | is_malicious=true && confidence_level = "high" && judgements not in ("Gateway","Mobile","Backbone","CDN") | 封禁所有判定为恶意,且可信度为高的IP地址,除非该IP地址是网关,移动基站,骨干网或CDN。该策略在粗暴策略上增加了可信度的为高的限制条件,降低误封的可能性。 |
| 保守策略 | is_malicious=true && confidence_level = "high" && judgements in ("Exploit","Brute Force") && judgements not in ("Gateway","Mobile","Backbone") | 在简单策略上进一步过滤,仅限制被标记为有漏洞利用及暴力破解等明显恶意行为的IP地址。 |
-
将第3步结果中情报判定建议封禁的IP地址,结合检出攻击行为危害,受攻击业务重要性,访问白名单情况进行综合决策,确定最终需要封禁的IP地址。
-
将最终需要封禁的IP地址推送至具备IP封禁的网络边界设备(防火墙,WAF等)中进行封禁。
小技巧
- 在执行封禁动作时,可以使用阶梯封禁策略进一步降低风险,即根据攻击源IP地址的攻击频率的逐渐增加封禁时间。以下是一个阶梯封禁的策略示例,可以基于实际情况进行调整:
| 第n次满足封禁条件 | 封禁时间 |
|---|---|
| 1 | 15分钟 |
| 2 | 30分钟 |
| 3 | 1小时 |
| 4 | 3小时 |
| 5次或以上 | 12小时 |
- 可以在SOAR(安全编排和自动化响应工具)中配置实现上述策略,实现自动化的IP封禁。
云API是北京微步在线科技有限公司旗下产品了解微步在线《用户服务条款》《数据保护政策》
联系我们:api@threatbook.cn
联系我们:api@threatbook.cnCopyright © ThreatBook.CN All Rights Reserved. 京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号