技术干货|详解威胁情报在WAF类产品中如何发挥最大价值?

news/2024/12/26 18:54:02/

在产业互联网发展的过程中,企业也将面临越来越多的安全风险和挑战,威胁情报在企业安全建设中的参考权重大幅上升。早期安全产品对威胁的鉴定是“一维”的:鉴定文件是黑(恶意文件)、白(正常文件)、灰(待鉴定结论);逐渐增加为“多维”:文件、IP、域名、关联,行为等等属性,这些信息综合起来,即形成“威胁情报”。

随着威胁情报的广泛应用,如何让威胁情报在不同产品中发挥出最优价值也成为了一个值得探索的问题。6月24日,腾讯安全威胁情报技术专家閤燕山做客产业安全公开课,从 “威胁情报在WAF中运用的最佳实践”的技术角度,聚焦基础阻断能力、BotIP识别、严格模式、去误报、威胁分析和专项情报六大场景,对“情报在WAF类产品中如何发挥最大价值”展开讨论。

一、威胁情报定义

说到情报,第一反应可能是谍战片,就是你能够提供给我我想知道而不知道的事情。而在安全圈,情报主要是利用公开资源发现威胁并指导企业做出安全改善来抵御黑客的攻击。腾讯安全对于情报的定义,分为入站和出站情报。入站是指互联网到内部的攻击,也就是WAF场景攻击;出站主要是失陷场景。本次演讲主要是入站情报的最佳实践。

二、六大实践场景助力威胁情报在WAF中运用

场景一:基础阻断能力

面对严峻的外部攻击形势,WAF一般通过结合自有规则库或者流量特征以及行为特征进行识别攻击阻断,提升安全能力。随着情报越来越丰富以及准确度的不断提升,情报运用于各网关产品也越来越多,WAF与共建情报中心结合的场景也越来越多,共建情报中心能够结合所有安全能力,为各个产品进行赋能,从而实现能力互补。

基础的情报能力主要是依据情报提供一个结果,包括三个维度:黑、白、灰。黑色阻断,白的放行。此外还有一些基础信息,比如地理位置、 ASN信息、广热度、威胁等级、IP whols、域名反查。最后还有一些附加信息,会收集IP历史上所有的攻击数据,以及IP画像。

除了基础阻断能力以外,有很多信息是可以利用的,比如危险等级可以结合WAF的策略进行分级的拦截与告警。由于入站情报的实时性要求比较高,所以每天会对全量数据进行回扫。

场景二:Bot IP识别

BotIP通常是由机器人程序、网络爬虫等伪装或仿冒成普通用户的访问,可以说是网络公敌,由BotIP带来的虚假访问数据可能给服务运营商带来严重损失,成为网络服务运营必须甄别的攻击来源。Bot识别是WAF比较核心的功能,常见的Bot技术,比如WAF进行反向代理时,在客户端和服务器进行连接的过程中,WAF本身会向客户端注入一段可执行的JS,这段JS可以用于验证客户端的合法性,并通过WAF对其进行分析。但是这种行为有很大局限性,比如客户端的兼容性以及准确性,从而影响误判率以及检出率。

(WAF最佳实践场景2——Bot IP识别场景)

除此之外,WAF还有很多维度,情报可以结合具体的标签体系来辅助对错误的识别。如图中举例,有扫描器、爬虫、秒波、薅羊毛、代理、暴力破解、漏洞利用,还有IDC、VPS、基站、CND、企业出口、服务器,对于这些标签会赋予一定的置信度。

除置信度以外,还有威胁等级以及最近活跃时间等维度。WAF可以结合这些信息通过特定算法来辅助判别这个IP的Bot几率有多少。

场景三:严格模式

严格模式会出现在一些特殊场景里。因为情报在不同场景下使用方式是不同的,这些场景里情报会提供一系列标签,比如VPS、IDC、云服务器、暗网节点、VPN、僵尸网络、攻击IP、代理。对于WAF业务来说,严格模式下的IP类型理论上都是可以封禁的,即便在非严格模式下,这些标签也是可以结合WAF策略配置来进行阻断。

场景四:去误报和降误报

在阻断场景中,如何降低客户误报率,是影响企业的业务发展和提升用户体验的关键因素。比如BGP、企业出口、人机率、基站IP、CDN、WAF回源,这些属性的IP是不可以对它进行封禁的,情报会提供这些信息给到WAF,对它进行去误报处理,在封禁时通过IP属性进行判断。

场景五:威胁分析

很多时候客户会问WAF厂商,为什么把这个IP给拦了?或许是因为WAF给的那些证据不够多,有可能这些证据是不足以让客户理解和信服,威胁情报可以在这上面给出更多的举证信息。

情报可以提供互联网访问的广(访问量大)热(单次访问多)度,还可以提供IP上开放的端口服务。比方说这个域名曾经在历史上解析过哪些域名,以及这些IP的互联网态势以及它的基础信息。除了这些,如果IP和APT组织有关联,也可以拿到家族团伙的信息,以及这个家族团伙历史上的一些攻击行为,这些都是可以给客户做举证的。

场景六:专项情报

对于客户来说,结合事件的专项情报的触达感更强。腾讯安全可以通过Web端,服务号、小程序等多点触达的方式,将最新最热的安全信息直接推送给客户,并协助他们提前进行预判。这种信息是针对客户的定点推送,结合客户行业和类型,会定向推送有价值的信息。

与此同时,如果客户授权,也可以给客户推企业物联网暴露面,比如有哪些潜在的危险,在互联网具体暴露了哪些信息、哪些端口,这些端口是不是很有可能会被黑客进行利用,进行攻击。同时也会帮助客户分析企业是不是存在信息泄露的风险。另外还有一些黑灰产、仿冒APP、仿冒网站等情报,也是企业比较关注的。

三、威胁情报在WAF中的接入方式

第一是本地化SDK接入方式,另一个是在线方式。

本地化SDK接入,支持函数级别接入,127.0.0.1标准化HTTP接入,这种接入方式具备高性能、低时延,因为受到本地储存的限制所以量级较少。

在线方式数据更新更加实时,例如前面提到的威胁分析场景更加适用。腾讯安全提供了一套标准的Restful接口。

四、威胁情报所衍生出来的产品

那么情报所衍生出来的产品有哪些?例如定位于互联网风险监测的云监测系统,以外部视角去看企业的暴露面、攻击面的信息,通过主动发现,被动测绘、周期扫描,持续探测,及时暴露出互联网业务的风险。

(腾讯威胁情报产品概览)

同时业内常见的是帮助用户建设整体威胁情报能力,赋能整网,提升安全水位的情报订阅服务,与帮助定位威胁的高级威胁追溯系统等等。

威胁情报作为安全的核心能力,与实际场景的结合与价值挖掘,将是提升安全能力的一大利器。


http://www.ppmy.cn/news/906087.html

相关文章

常见的一些威胁情报分析平台

在进行渗透过程中,也可以借助一些商用或者非商业平台来进行信息搜索及验证,主要针对邮箱、IP、域名、文件md5、apk文件等进行搜索,整理和完善线索信息。为了大家方便, 对目前公开的威胁情报平台进行搜集,在实际使用过…

聚铭网络全系产品接入腾讯安全威胁情报

腾讯安全和聚铭网络合作再次升级。 南京聚铭网络科技有限公司全系产品接入腾讯安全威胁情报,实现网络安全威胁情报能力共享。这是继今年1月份腾讯投资聚铭网络后在具体业务层面展开的一项深度合作。 此次合作,腾讯安全开放威胁情报能力,与聚…

PyPI代码库又现恶意软件包,腾讯安全威胁情报已收录,专家提醒码农小心供应链攻击

据Jfrog科技博客报道,在 PyPI 存储库中发现几个恶意代码,攻击者试图植入后门、窃取信用卡信息、窃取浏览器敏感数据、截屏并上传到指定地址。相关恶意代码在从PyPI网站删除之前已被下载3万次,腾讯安全专家发现国内部分镜像库尚存在这些恶意代…

腾讯安全正式发布威胁情报小程序,帮助企业掌握第一手情报

腾讯安全威胁情报联合科恩实验室、腾讯天幕等团队推出了威胁情报小程序,为您提供第一手的情报资讯,助您了解互联网威胁态势、信息泄露、DNS劫持、黑灰产、漏洞情报、仿冒风险等内容。 互联网威胁态势 实时统计近30天全网暴露面、勒索、挖矿、APT、病毒木…

腾讯安全威胁情报品牌发布会召开 打造开放、共享的情报生态圈

近年来,全球网络安全威胁态势愈发严峻,安全事件层出不穷,企业传统的安全防御策略显得越来越力不从心。如何快速高效应对持续性的网络威胁,构建更具实战和联动能力的威胁情报能力,实现安全防御上的“化被动为主动”&…

头豹研究院发布《2022年腾讯安全威胁情报能力中心分析报告》:助力企业掌握安全防御主动权

12月23日,头豹研究院发布了《2022年腾讯安全威胁情报能力中心分析报告》(以下简称《报告》),深度研究了腾讯安全威胁情报能力建设、威胁情报能力应用、威胁情报价值实践方面的现状及成果,从专业视角分析腾讯安全威胁情…

安全威胁情报简述

什么是安全情报? 从情报的类型上来看 可以分为:资产情报、事件情报、漏洞情报和威胁情报。 注意,我们常说的威胁情报,并不完全等同于安全情报。 四大类信息[2] 资产情报:主要用于确认企业自身的资产 e.g. 企业自身…

腾讯安全与锐捷网络战略合作,威胁情报能力“被集成”

2月28日,腾讯安全和锐捷网络在北京联合举办“威胁情报”战略合作发布会。双方发布了一款集成了腾讯安全威胁情报的新一代防火墙,并举办战略合作签约仪式。 会上,锐捷网络安全产品事业部总经理项小升、腾讯安全总经理陈龙代表双方签署战略合作…