自动化阶梯封禁在 OctoMation 是如何实现的
上海雾帜智能
- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
收藏一下~
可以收录到专辑噢~
自动化阶梯封禁在 OctoMation 是如何实现的
封IP, 在红蓝对抗、日常安全运营、hvv中都是最常见的防御手段,然而,人工封禁的方式存在着大量的工作量,其中包括情报关联、事件调查、规则判断、封禁、解封。
如果有种方式能够更好、更快、更符合SOP流程的话,拿笔者认为,这种方式能够覆盖安全全场景,使安全事件能够在第一时间进行有效处理。
自动化阶梯封禁 整个剧本设计的难度在把所有的功能按照逻辑点进行子剧本拆分,具体来说有以下几个步骤:
- 事件分类
- 事件可以根据攻击方向进行分类,攻击方向一般都是 内到外、外到内、内到内、外到外。(每个攻/击方向都做成一个剧本实现。)
- 内到外:指的是内部网络向外部网络发起攻击,比如内网渗透到外网。
- 外到内:指的是外部网络向内部网络发起攻击,比如外网入侵内网。
- 内到内:指的是内部网络之间的攻击,比如内网内的恶意软件传播。
- 外到外:指的是外部网络之间的攻击,比如两个不同网站之间的恶意竞争。
- 事件可以根据攻击方向进行分类,攻击方向一般都是 内到外、外到内、内到内、外到外。(每个攻/击方向都做成一个剧本实现。)
- 情报获取
通过开源情报、商业情报等各种产品对IP信息进行情报分析,获取攻击者的地理位置、历史攻击记录等信息,为后续的封禁提供依据。
- 封禁规则
封禁规则这里是核心逻辑,不同规则有不同的封禁时间。可以设置复杂逻辑,甚至可以进行历史威胁统计分析后进行封禁。例如,可以根据攻击者的攻击频率、攻击时间、攻击目标等因素来设置不同的封禁时间,以达到最优的防御效果。
- 可以设置复杂逻辑,甚至可以进行历史威胁统计分析后进行封禁。
- 封禁处置
封禁在防火墙或者WAF上执行,通过添加封禁规则或者黑名单等方式实现封禁。同时,也可以将封禁信息同步给其他安全设备,以实现协同防御。
- 定时解封
这里我们使用剧本节点中的定时执行这个能力进行延时解封。例如,可以在凌晨时分进行解封,避免影响正常业务。同时,也可以根据实际情况进行手动解封,以应对一些特殊情况
至此,自动化阶梯封禁已经实现,我们只需要在事件管理中配置一个事件类型绑定 XXX安全处置 剧本后在进行 事件接入 就可以实现自动化。
添加一个事件类型
配置一个事件接入
自动封禁我们就实现啦~
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 上海雾帜智能 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
再也不用刷cve漏洞新闻了
2023-10-31
安全运营你需要会写playbook
2023-10-27
雾帜智能发布编排自动化产品社区免费版
2023-10-17