以「威胁情报」为核心的六大实战攻防技巧
目前,国家级攻防演练正在进行,国家规模的演练已经成为检验网络强国建设的重器,同时,也是维护网络空间安全的绸缪之举。举办高质量的网络攻防演练可以发现目前网络存在的隐患并及时弥补,加强部门之间协同响应,同时也可为培养高水平网络攻防人才提供技术支撑,为国家的网络安全决策提供依据。
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。在攻防演练中,随着攻击方技战法变化,防守方面临着更严峻的防守考验。
创宇结合多年来的实战攻防对抗经验,总结出防守方实战防守痛点。
(一)互联网暴露面过多,敏感信息外泄突出,存在影子资产
(二)漏洞、弱口令等脆弱性存在,核心防护缺乏
(三)人员安全意识不高,下属单位防御薄弱,易成为入口点
(四)0day漏洞防范和检测能力欠缺,情报获取能力欠缺
(五)远程办公(VPN接入)不安全,容易被攻击者利用
(六)重要网络缺乏有效隔离,内网违规外连严重
(七)防守得分难,溯源到真实攻击者难,防护人手不足
从以上防守方痛点看,资产梳理、情报获取、追踪溯源、威胁检测是攻防演练过程中防守方需要做好的几点重要事项,而这些都指向防守方的威胁情报获取能力。这也说明近年来,威胁情报在攻防演练中会扮演着越来越重要的角色。威胁情报是利用大数据联防联控能力,实现对威胁的感知。通过收集并分析威胁情报,其可以更快的发现攻击威胁,更早的采取措施消除风险,更容易的追踪溯源分析,从而在攻防演练中取得更好的成绩。
创宇安全团队结合以往多年参与攻防演练的实践,并结合创宇威胁情报的特点,我们总结出了以下在实战攻防演练中以【威胁情报】为核心,从【实战防守场景】出发作为立足点的6大实战防守技巧,多方位提升防守能力,助力防守方取得优异成绩。
场景一:利用创宇威胁情报实现资产梳理,减少攻防演练安全隐患
利用创宇安全智脑,可以轻松的实现
关联子域名查询
登陆创宇安全智脑(gac.yunaq.com),在输入框中输入域名进行查询,在查询结果中,可以轻松获取该域名关联子域名和子域映射IP的信息。
IP反查域名反查
登陆创宇安全智脑(gac.yunaq.com),在输入框中输入域名进行查询,在查询结果中,可以轻松获取该域名当前解析IP关联的域名信息。
场景二:利用创宇威胁情报精准发现红队攻击IP
在攻防演练期间,发现的攻击IP是可以获得加分。因此,创宇威胁情报每日将提供:
小时更新的确认、高危和疑似黑客情报
登陆创宇安全智脑(gac.yunaq.com),并加入创宇威胁情报攻防演练专版,其可以获得小时级更新的确认黑客情报、高危黑客情报和疑似黑客情报。
每日更新的攻击IP TOP 500
登陆创宇安全智脑(gac.yunaq.com),并申请威胁情报订阅服务专业版,其可以获得每日更新攻击IP TOP 500 邮件推送Excel。
场景三:利用创宇威胁情报赋能安全设备安全能力
在攻防演练期间,为了防止攻击IP对安全设备的攻击,可以通过创宇安全智脑获取的高危IP,直接同步给安全设备,进行访问阻断。
每日更新的攻击IP TOP 500
登陆创宇安全智脑(gac.yunaq.com),并申请威胁情报订阅服务专业版,其可以获得每日更新攻击IP TOP 500 邮件推送Excel。
场景四:利用创宇威胁情报攻击行为数据获取攻防演练报告撰写材料
在攻防演练期间,需要撰写相应的安全报告,特别是攻击行为描述。利用创宇安全智脑可以获得:
攻击IP攻击行为描述
登陆创宇安全智脑(gac.yunaq.com),在输入框中输入IPv4或者IPv6进行查询,在查询结果中,可以轻松获取该IP的攻击行为数据。
攻击IP攻击行业描述
登陆创宇安全智脑(gac.yunaq.com),在输入框中输入IPv4或者IPv6进行查询,在查询结果中,可以轻松获取该IP的攻击行业数据。
场景五:利用创宇威胁情报批量查询实现多源情报验证
在攻防演练期间,假如你收集了一批疑似危险IP,但你不确认是否是攻击IP,利用创宇安全智脑的批量查询,可以轻松实现该数据批量信誉分析,从而实现多远情报验证。
批量数据查询
登陆创宇安全智脑(gac.yunaq.com),在输入框中点击展开,并粘贴多个IPv4/IPv6进行查询,可以该数据的威胁结果。
场景六:利用创宇威胁情报协助追踪溯源
除此之外, 在攻防演练期间创宇威胁情报也提供由安全人员提供的追踪溯源服务。
创宇威胁情报介绍
创宇的威胁情报是基于创宇高市场份额的云防御体系,在向前防御和持续交火的过程中而积累的海量真实攻防数据。通过大数据和人工智能算法计算出来的高价值威胁情报,其特性包括:
原创情报源:关基「攻击行为」数据(创宇盾)和资产测绘(ZoomEye)情报数据的结合;
独特情报类型:国内「海量的IPv6」威胁情报;
精准情报:知道创宇超10年自生产自消费的情报, 目前服务于百万客户使用、情报准确度高、误报率低
高时效情报:目前情报更新达到业内前列15分钟级的威胁情报更新频率。
攻防演练期间,知道创宇安全智脑每日高频推送【确认黑客情报】【高危黑客情报】【疑似黑客情报】3类攻击IP情报。
威胁情报攻击IP推送服务数据来源来自于知道创宇的云防御系统,该系统防护了包括公安部、工信部、司法部、中交建、中广核、中国华电等大量部委、政府、央企、能源等参演单位,情报可涵盖大部分攻击IP。
如需【免费试用】了解如何获取获取威胁情报,辅助研判,快速阻断威胁,请扫描下方二维码。