在企业日常安全运营中,对IP告警的分析和处置是最常见的场景。而无论是甲方还是乙方,面对一个可疑IP时,总会有这样的“灵魂三问”:

 这个IP是不是在攻击我?

 我遇到的是一次定向攻击,还是僵尸网络的随机扫描?

 这个IP背后的攻击者是谁,攻击目的是什么,攻击特征有什么? 

当前,企业在对IP告警进行分析时,最常用到的就是IP信誉相关的威胁情报。然而,随着攻击者的手法越发高超,企业针对告警分析和运营的难度也变得越来越高,威胁情报单纯回答一个IP是黑是白,已经不能满足现阶段企业安全运营的需求了。

回顾威胁情报金字塔模型,以IP、域名、Hash为代表的IOC情报处于最底层,而威胁情报金字塔中的每一级情报,都是从下一层生产而来,其中需要大量人工与智能化的工作,而随着情报层级越高,数量也越少,生产难度也越大。

但是,在日常工作中,安全运营人员需要摸清攻击者的意图、明确攻击者的目标,进而根据攻击手段和木马进行对应防御,而此时安全运营人员所能得到的线索,只有一个IP,没有其他可用于分析的信息。

如何通过一个IP得知背后攻击者的意图、并明确攻击者的目标、攻击手段和木马?

这要求威胁情报的升级——将“IP信誉情报”全面升级为“IP攻击画像情报”。对IP的判定不能止步于“非黑即白”,而是要从历史攻击手法、攻击目标、传播木马情况等指标定性攻击者归属家族,通过历史攻击活跃程度、攻击包详情等细节佐证分析结论。

生产IP攻击画像情报,需要采用网络资产测绘和蜜罐诱捕技术收集攻击信息,同时用云端威胁情报数据和漏洞情报数据即时碰撞,最终进入智能分析等环节,生产出时效性好、准确度高的IP攻击画像情报。

作为深耕威胁情报领域的厂商,微步在线能够在全网范围内获取正在发起攻击的IP,做到全网攻击关联,从而精准获取攻击IP的攻击手法、攻击目标、利用漏洞、传播木马等数据。

目前,微步在线旗下所有产品,包括X情报社区、流量检测类产品TDP、本地威胁情报管理平台TIP、终端检测产品OneEDR、基于DNS的威胁防护产品OneDNS等都已经具备IP攻击画像情报能力。

以X情报社区为例,在搜索某个IP时,不仅可以得到对IP黑与白属性的判断,还能够展现该IP的攻击手法、攻击目标和所用木马,从而形成一个完整的故事,全方位描绘出这个IP“罪恶的一生”。 

IP攻击画像全景图

这样,当安全运营人员需要了解某个IP的威胁情报时,能得到的就不仅仅是一个黑与白的判定和开源情报检出的集合。微步在线会给出该IP的历史攻击手法、攻击目标、传播木马情况,从而定性攻击者归属家族。而历史攻击活跃程度、攻击包详情等细节,则能进一步佐证分析结论。

最后,安全运营人员可以确定这个IP是黑是白、背后的攻击组织和僵尸网络家族是哪个,同时还可以得知这个IP的历史经常攻击端口、攻击应用和利用的漏洞。

 攻击分析图 

这样一来,安全运营人员就能完美地回答开篇的“灵魂三问”:

 这个IP是不是在攻击我?

利用IP攻击画像相关字段结合内部日志进行多维度的相似度分析来确定。

我遇到的是一次定向攻击,还是僵尸网络的随机扫描?

根据IP攻击画像的历史攻击事件、传播的家族木马以及攻击手法的类型等多个维度来判断。

这个IP背后的攻击者是谁,攻击目的是什么,攻击特征有什么?

根据IP攻击画像传播家族及其类型、利用漏洞及UA等数据得出结论。

因此,安全运营人员在发现该IP在发起较严重攻击时,就可以针对性排查内部安全隐患,在真实攻击发生前消除威胁,从而让安全运营工作更加高效、智慧。

此外,IP攻击画像情报十分适合攻防演练场景。攻击画像可以让红队的IP资产无所遁形。

如果某个IP的活跃时间与攻防演练时间段高度重合,并在攻击手法上也表现出红队特征,那么对这个IP进行追踪溯源,或许就能获取宝贵的加分。

 

使用IP攻击画像情报,可以通过安全设备自动或手动筛选出高危的、具有定向特征的攻击行为,并得到具体风险类型及等级、阻断和响应建议、决策相关的依据等,从而帮助安全运营人员优先处置高危攻击事件,并有能力进行更深入的分析。

应对单起攻击事件只是起点,在攻击面管理、安全策略调整等方面,IP攻击画像情报将发挥更大作用。

从IP信誉到IP攻击画像的升级,也意味着威胁情报能承载的信息量更大,能讲出的故事更完整,威胁情报绝不仅是零碎IOC的堆砌,在安全运营工作中,威胁情报的战略意义将不仅仅是简单地去除噪声、精准告警,更能帮助安全运营人员窥一斑而知全豹,在防护和预测两个维度上先行布局,完成安全运营从被动到主动的进化。

网络攻击愈演愈烈,我们该如何应对和改变?

微步在线CTIC网络安全分析与情报大会

诚邀各位安全守卫者共同探讨


威胁情报 家族 网络安全 僵尸网络
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接