近日,长亭雷池(SafeLine)下一代Web应用防火墙已顺利完成了与阿里云安全威胁情报库的对接工作,是当前唯一被授权对接的安全厂商。
威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。 ——Gartner 《安全威胁情报服务市场指南》
阿里云威胁情报是基于其全球范围的生态系统,在自身庞大多样的业务防护需求基础上产生的数据。该威胁情报源于全球部署的安全防护系统结果的收集,对攻击行为分析和情报信息梳理总结后进行分析,记录的均为在阿里云实际发生过的攻击行为数据,是集合庞大数据量、复杂业务环境、精准性的威胁情报。
雷池(SafeLine)利用阿里云端海量的精准威胁情报信息资源,结合本身安全防护管理能力进行防控联动,能够针对实施更多种已知风险进行快速对抗响应措施,同时利用威胁情报查询机制获取更多IP标签信息,提升现有安全解决方案的检测和防御能力,甚至溯源能力。
先于WAF检测引擎,更早判断攻击行为
通过引入威胁情报,雷池(SafeLine)的防护范围从攻击行为扩展到攻击者,能够提前预判可能产生的攻击。在阿里云威胁情报中,一段时间内被阿里云识别的攻击者,将被进行标记和记录,变成有“前科”的黑IP。因此,其记录的是已经发生过攻击行为的黑IP,可以将误报率保持极低的水平。集成后的雷池(SafeLine)通过设置响应的防护策略,依照防护规则观察记录甚至阻断这些黑IP的访问请求,提前阻断攻击行为。
超细粒度攻击行为分析
基于阿里云威胁情报库中强大的IP信誉信息,通过对访问流量的源IP标签查询,安全管理人员可以识别到该访问者的“案底”——即何时曾进行过何种攻击,标签维度包括攻击类型、攻击偏好、攻击轨迹等。在防护过程中,安全管理员结合IP信誉信息,通过在雷池(SafeLine)中对某一类标签访问者进行统一配置,可结合业务需求实现反爬虫、防僵尸网络、防撞库等攻击行为;或根据攻击者的活跃度,进行访问阻断,减少攻击者可能的踩点或以信息收集为意图的访问行为。同时,雷池(SafeLine)还将可以针对某个源IP进一步查询更详细的标签信息,以此协助攻击研判及溯源分析。
强耦合接入提升下一代WAF检测效率
雷池(SafeLine)已将威胁情报纳入到检测模块,成为防护体系的一部分。目前常见的威胁情报访问方式是利用在线或本地威胁情报服务器,通过网络方式查询和访问,这期间除了每秒访问量(QPS)的约束外,网络延迟也是影响判定效率的重要因素。雷池(SafeLine)定时下载阿里云威胁情报至本地进行查询,实现高效的实时防护,提高检测效率,降低检测延迟,从而提升用户体验。
您可能存在的疑惑:
Q:我已经部署了雷池(SafeLine),使用威胁情报功能需要改动配置吗?
A:雷池(SafeLine)接入威胁情报能力不影响现有的部署场景和应用模式。用户需仅在当前部署场景下,保持雷池(SafeLIne)能够接入互联网,可以与威胁情报的云端服务器保持网络畅通,能够下载威胁情报即可。
Q:下载威胁情报时,雷池(SafeLine)需要接入互联网,这会不会引入安全隐患?
A:雷池(SafeLine)作为一款基于智能语义分析技术的应用安全防护产品,可以作为Web站点的互联网出口防护设备,有能力保障自身的安全。
Q:雷池(SafeLine)集成的阿里云威胁情报与市面上的其他威胁情报有何不同?
A:阿里云威胁情报库均采集于其自身实际遭受到的攻击记录,所有数据都是真实发生过的,误报率极低。同时由于阿里云业务系统丰富多样,数据信息也可匹配各行业多种业务场景。
接入阿里云威胁情报的雷池(SafeLine)又完成了一次能力升级。目前雷池(SafeLine)已然成长为以智能语义分析技术为利刃,兼具多种防护手段的综合性能力产品,为让您了解更多关于雷池(SafeLine)防护、部署、联动运营技巧和操作指南,我们特此推出“下一代 Web 应用防火墙——运营创造营”系列直播课程,长亭科技的各位师傅们将带着大家“玩转”雷池(SafeLine),让其充分发挥出最大价值,快进入我们的直播间吧~
发表评论
您还未登录,请先登录。
登录