这是我参与「第五届青训营 」伴学笔记创作活动的第 10 天
今天主要学习了黑灰产监控与防御,通常情况下,黑灰产被界定为通过人工方式或者技术手段实施的操纵网络信息内容,获取违法利益、破坏网络生态秩序的行为,包括搬运洗稿、恶意营销、撰写黑稿组成的“内容三黑”,以及黑账号、刷粉刷量推广作弊组成的 “运营三黑”.
企业的信息安全体系是非常庞大的,任何一个环节都可能会出现安全风险。其中,黑灰产是安全人员最为关注的一个风险来源,也是历年来导致企业和用户损失最大的因素。
对于企业来说,通过SOAR类平台可实现无人值守自动拦截,传统的代理方式在节点有限的情况下无法突破防御。所以秒拨、商业代理、自建IP池等技术越来越受攻击者青睐,此类技术一般基于大量IP的代理池通过socks、HTTP、HTTPS方式频繁的切换代理IP,IP资源可谓取之不尽用之不竭。即使被攻击单位能够对攻击IP进行自动封禁,但是面对海量IP的攻击,该防护方式依旧会显得十分被动;在秒拨技术的加持下,对攻击者来说,被攻击目标单位的拦截阻断策略相当于“失效”。
- 攻击来源方面,部分云和IDC厂商的IP被用于黑客攻击,防御方可对来自特定厂商的流量予以特殊注意。
- 黑灰产利用秒拨IP绕过防御策略,检测难度高,防御方需及时建立应对秒拨IP的机制。
- 黑客对新漏洞利用速度进一步加快,蠕虫手法常有更新,防御方需尽快修补漏洞,以及增强蠕虫检出能力。
- Webshell连接加密升级,防御方需要加强对webshell尤其是新型工具的检测。
- 针对管理端口和数据库的攻击呈上升趋势,防御方应引起重视。
