已经快两周了,哪怕是攻击最活跃的时间段,态感平均15分钟也就1条告警。
监控室里,某集团信息安全中心负责人老李,丝毫不慌,起身泡了一杯茶,准备研究一下再上几套蜜罐。
就在半个月前,一天大几千条告警还很稀松平常,他每天除了看告警,就是看告警,没太多时间去做其他事情。
态感努力降噪了,但效果有限
所以从去年开始,老李就一直想要降噪。
期间他做了很多尝试,比如态感的规则调优、告警分级、情报碰撞等等,来回折腾好几个月,效果有一些,但不多。
为啥?降噪降的是无效告警,看看监控后台,扫描器、注入、反序列化、文件上传、未授权访问……基本都是有效告警,好像降无可降。
这个数量对于三、五个人的团队而言,还是太多了。
传统边界努力了,但封不住
没办法,今年攻防期间还得堆人:不就是看告警、封IP么,只要攻击IP不是重要的网关、基站,应封尽封。
然而攻防刚开始,边界就被打成了筛子。
第一,封禁生效很慢。现有阻断器,联动封禁大约有1-2分钟的延迟。而且批量封禁的越多,延迟就越高。
第二,阻断成功率不高。旁路部署下,某专业阻断器封禁率只能勉强保持在96%左右,剩余4%会拦截失效,依然能持续捕捉到相关告警,也不支持IPv6。
第三,入侵检测能力很弱,无论四层部署的防火墙还是旁路阻断器,根本检测不到新型攻击,还总误报,没法自动拦截。
威胁止步于边界,告警就少了
“难怪内网有这么多告警,边界整个一大漏勺。”老李心想,于是紧急协调上架了微步OneSIG,增强边界阻断能力。
| 关键指标 | OneSIG | 现有边界防护 |
| 入侵检测 | 检出率90%+,误报率0.003% | 很弱 |
| 封禁效率 | 实时封禁 | 1-2分钟延迟 |
| 封禁概率 | 100%封禁 | 约4%黑名单不生效 |
| 覆盖范围 | IPv4、IPv6全覆盖 | 不支持IPv6 |
主要配置如下:
- 主–备HA串行部署,覆盖所有网络出入口,消除旁路阻断失败的隐患。
- 配置IPv6封禁策略,应对今年IPv6攻击明显增多的趋势。
- 开启自动拦截,所有检测到的攻击实时自动拦截,剩余不宜在网关检测或未发现的攻击,再通过与态感平台联动拦截。
- 开启重保模式,从云端自动同步最新的攻击队情报,加入封禁名单。
- 配置地理位置黑名单,由于没有国外业务,直接对归属地是国外的IP地址一刀切。
告警断崖式下降
OneSIG配置上线之后,老李惊呆了:一周下来,态感的告警数量几乎是断崖式下降。即使在攻击者最活跃的时间段,平均15分钟也就1条告警!居然还能空出大量时间来hunting和潜在安全隐患整改消除!
若不是还有稀稀疏疏几条告警,他都以为态感坏了。
当然真正的原因是,OneSIG自动拦截掉了大量的外部攻击,只一周就超过1500w次,而这部分攻击自然不会被内网的流量探针检测到。
若非如此,其中哪怕只有10%越过了网络边界,态感的告警数量也会上升好几个数量级。
由此看来,增强边界防护带来的降噪效果,要远比折腾态感本身好得多。
“部署OneSIG前,内网安全事件告警300多件,部署后安全事件仅有20多件。”
—— 某政府机构安全负责人
“态势感知平台的告警从百十条降到十多条,而且基本没有误报、误封。”
—— 某新能源车企CSO
-END-
分级保护解决方案及配套安全产品
等级保护解决方案及配套安全产品
网络安全解决方案及配套安全产品
微信扫码联系客服
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/4736.html
