顺着一个攻击IP，4小时后我们站在了攻击者的工位前

威胁分析某种程度上和拼图游戏很像。他们都是由不同的关键要素组成，又都有一个相似的目标：在有限的时间内，快速找到不同模块的相关性，最终还原最准确的真相。拼图游戏中，最快拼出图形的一方算赢，而威胁分析则需要安全分析师最快发现攻击者的意图、手段与攻击节奏，还原攻击的全貌。

“黑了xx服务器的人，就是你吧”

六月一个周末的早晨，我们收到来自某企业的一个应急响应求助。于是赶紧到达现场，上机查看详细威胁情况，我们发现告警是一条IP为*****99.49的攻击成功。

紧接着，打开TDP的智能聚合，通过仪表盘，我们看到了几个关键线索：

微步威胁感知平台TDP智能聚合功能示例

• 这个IP的攻击者都是白天访问为主，晚上进行攻击。
• 这个IP虽然攻击了很多次很多站点，但第一次访问的就是这个xx系统。
• 这个IP从情报上显示，是一个VPS主机。
• 这个IP不仅攻击成功了，还下载了75个文件。
• 这个IP是独立攻击者，没有团伙。

• 从攻击选择工具和手法来看，并不像是个高手，更像是一个初学者。

盯着智能聚合的页面，几个问题很自然地浮现在我们脑海中：

1、为什么白天不攻击，而只在晚上才发起攻击？

2、愿意花钱购买VPS做攻击的人有什么共同之处？

3、什么样的人会对那个系统的那些文件感兴趣？

4、面对这个企业，都是黑产为主，为什么对方没有团伙？

5、初学者？

基于设备展示的攻击过程，以及多方信息的研判，我们锁定了攻击者的真实身份为该企业内部人员，并找到了正坐在工位上的某员工。

而从接到告警到最终确认攻击者身份的整个过程，我们的实际使用的时间只有4个小时。之所以能快速拼出攻击者身份信息，最关键的其实在于我们以攻击者视角、快速还原了攻击情况。

你可能不信，但微步TDP智能聚合真能帮你

微步TDP智能聚合功能，从攻击者视角出发，为企业安全分析师提供了一个更快、更全面、更准确的威胁分析手段：

☞ 实战为王，设计理念立足攻击者视角

攻击者攻击的永远是人，寻找的是人的漏洞，他们思考的是人的行为（比如运维）、习惯（比如编码）等带来的安全问题。作为防守方，企业需要一个攻击者的视角，来看清攻击行为的过程和拼图的全貌。TDP正是基于这样的理念，推出了攻击智能聚合功能，能够真正还原攻击过程，高度适用攻防演练、实战重保等实战性要求高的场景，且效果极佳。

☞ 智能聚合攻击事件，清晰排查威胁

告警不应该成为威胁发现的唯一指标，更关键的还有事件。针对攻击者在达到攻击目的前，尝试的不同攻击点，不同攻击手段，传统检测设备一般以单条、独立告警事件进行展示，威胁分析效率较低。TDP以事件为展现单位，从攻击者视角出发，能够对攻击者发起不同攻击，以时间为坐标轴进行关联、归纳与汇总，并及时给出告警。所以分析师看到的，是攻击者在何时，以何种方攻击方式，对内网哪些资产进行了攻击，造成了哪些破坏，从而进行快速排查。

微步威胁感知平台TDP智能聚合攻击功能示例

☞ 多视角可视化呈现告警事件，高效威胁分析与定位

通过TDP智能聚合，你不仅可以看到单次事件中，攻击团伙在过去30天内进行的所有访问、攻击的热力图，了解到攻击者的攻击习惯，也能快速掌握当前阶段的攻击结果（到底是攻击成功、失败，还是尝试），看到以IP为维度展示的攻击过程，以及攻击IP来源等不同视角结果。而针对攻击成功事件，分析师也可进一步查看详细日志进行具体问题定位，或是添加阻断，有效进行防御。

我们以什么样的方式理解攻击者，就会以什么样的方式做出防御的姿态。我们对攻击者的理解有多深，最后实现效果的差异就会有多显著。TDP攻击智能聚合，是我们站在攻击者的角度的又一个升级与产品呈现，希望能够让更多企业真正体验到智能聚合威胁分析的价值，帮助更多企业安全运营效率的提升。

---

安全传送门

Free Trial

如需免费试用微步TDP

或了解TDP智能聚合功能

欢迎扫码联系我们

↓↓↓

400-030-1051

---

· END ·

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送，可以设为星标哦

原文始发于微信公众号（微步在线）：“顺着一个攻击IP，4小时后我们站在了攻击者的工位前”