前言
还记得去年我们分享过的“宜信防火墙自动化运维之路”吗?没错,就是那篇至今保持着浏览量最高值记录的那篇~··它的姊妹进阶篇新鲜出炉啦!经过一年的沉淀,我们从建设起步阶段已过渡到平稳运营阶段,正式进入2.0版本的使用,新增了许多让你意想不到的新功能,这就来层层展开↓
功能更新
0x01日志联动
通过利用安全日志平台集成其他安全设备,如WAF/IDS/主机等类型日志,对攻击者Ip通过规则进行分析和后续操作。
0x02自动化拦截
默认的防火墙策略依赖静态策略,例如基本都会放行互联网到一个Web系统的80、443端口,但是通过自动化拦截功能实现在防火墙上对风险级别较高来源ip的动态阻拦,即使访问的是正常的端口或者应用。
0x03攻击可视化
通过日志平台对常规的入侵行为和拦截情况进行分类实时展示,并可生成报告,对重点关注对象做告警操作。
0x04回溯分析
对攻击类型或业务的关注级别较高的对象进行自动抓包,解决常规IPS/IDS海量日志分析困难的难题。
0x05威胁情报对接
结合外部第三方威胁情报库自动化防御。
自动化拦截
日志平台通过如WAF日志进行分析,通过制定规则,比如某些IP采用多种攻击手法XSS+SQL组合对业务进行了攻击,会统计产出恶意IP更新至IP_list(攻击者ip清单),并执行⾃动拦截脚本通知防⽕墙运维平台,防火墙运维平台使用防火墙RESTful API接⼝去更新动态拦截策略的地址库对象,对恶意IP进⾏拦截。到达指定拦截时长后,同样方式进行释放操作。
(防火墙动态阻止列表功能)
通过日志平台对拦截情况进行实时监控。
收益
-
设备性能提升,将风险较高IP直接在外层防火墙上拒绝,减少内部Waf/负载均衡/服务器资源占用,物尽所用。
-
IP信誉库积累。
-
内部安全日志和外部威胁情报的充分利用。
-
单个区域发现的攻击IP可直接在多个数据中心出口同时拦截,提升整体安全性。
IDS自动抓包告警功能
目前大多数的IPS/IDS还是基于各自特征库对数据包进行入侵防御识别,如果判断为攻击通常会直接拦截或低级事件采取记录日志动作,对于甲方安全人员能看到的只是某个地址到我们的应用有命中IPS规则,给个CVE编号和攻击基本解释就结束了,想要复现基本很难。通常我们的需求需要知道到底数据包是什么内容,包含什么字段,为什么会命中IPS规则,这样也好给到开发人员进行代码修改,所以我们对内网IDS工作流程进行了优化,实现对关注的攻击进行数据包保存溯源,针对特定攻击和事件也进行高级告警。
流程
1:IDS接收内网所有需要关注的流量。
2:管理员对IDS规则进行调优,将需要关注的事件log发送到日志平台,并指定自动抓包动作(IDS上针对某些攻击的动作指定为自动抓包),如针对各种应用层攻击,内网扫描事件等。
3:日志平台根据搜索语句定时进行搜索,如果搜索到攻击事件日志,将日志的时间戳和自动抓包生成的Pcap ID发送到防火墙运维平台接口。
4-5:防火墙运维平台通过防火墙API接口,利用时间戳和Pcap ID字段登陆设备进行数据包下载到本地, 并执行提取X-forward For字段和三层IP地址。
6:防火墙运维平台将提取出的X-forward For和IP地址信息字段和pcap文件下载url发送给日志平台,
7:日志平台进行白名单筛选,排除白名单后,日志平台进行邮件告警
告警内容:攻击源地址 目的地址 攻击类型 原始数据包下载链接 ,如图
收益
-
内网安全关注的攻击类型和业务攻击事件发现时间大大缩短,从海量日志中准确提取了我们需要关注的信息,减少人工参与工作量。
-
原始包的留存对我们的安全研究和系统代码修改都提供了很好的材料。
温馨提示
如果你喜欢本文,请分享到朋友圈,想要获得更多信息,请关注我。
本文始发于微信公众号(宜信安全应急响应中心):宜信防火墙自动化运维之路(进阶篇)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论