【实践讨论】当企业IP被标记为异常，且被其他企业封禁的应对措施

【金融业企业安全建设实践群】针对问题“A公司IP被威胁情报标记异常，B公司采用该情报并封禁了该IP对B公司的访问，影响了A公司访问B公司信息系统的业务”展开讨论，其中不乏有建设性且可落地的解决方案。我们将群友讨论的内容整理成此文分享，希望博采众长，与大家一起讨论。

以下为实录：

Q：A公司办公网互联网出口IP被威胁情报标记异常，B公司采用该情报并封禁该IP对B公司的网络访问，影响了A公司访问B公司信息系统的业务。大家有遇到过这种情况吗？临时沟通协商解封的办法感觉只是扬汤止沸，有没有什么事前的长效机制规避？不知道有没有各家情报机构认可的官方渠道，能够认证一下是公司级别网关IP？

A1：建议设业务白名单机制，封禁前先查一下是否在白名单里。不过，云上的业务IP地址经常变化，这个机制也会很麻烦。白名单，A公司量小还行，一多就难了。

A2：这个问题很常见啊，A公司的出口是动态网络还是IDC，显示是什么情报，比如spam+gateway，那B公司的封禁策略就应该是一段时间而不是永久。两家业务是否重要，如果重要可以考虑走专线，或者协同维护白名单，要求A公司独占IP，不然封你有理由。然后B公司的业务是否可以要求安装客户端连接，采用类零信任的技术来建立连接，而不依赖于IP，本质上是IPv4的问题。

A3：出口IP尤其上互联网的，是经过转换的，除了对外服务的，还有上网的，是共用的，存在病毒木马攻击别人的可能性。

A4：上网和业务IP分离。

Q：业务系统和上网是分开的，但是上网的线路也有很多业务人员每天登陆其他机构的网站做业务，这个在金融领域很多。上网线路封了也会造成运维的可用性事件。

A：内部普通上网建议采用代理机，代理的nat地址池和业务分离。

Q：这个建议提醒了我，可以通过增加一个备用出口IP池，一旦常用IP被封，事中可以快速主动切换IP，快速恢复业务访问。

Q：现在是对方封我们，我们自己怎么主动采取缓解措施？

A1：主动措施很难，除非知道封禁原因。联系对方加白最快，另外可以问问对方的判断机制，如果是开源库应该可以在开源库申请，如果是威胁情报，就有点麻烦。

A2：也可以向威胁情报服务商申请白名单，但是，如果这个IP不是独占的，就不行，情报标记有问题一般是真的有过相关行为。另一种主动点的措施就是出口加ngfw类产品，能起到一定作用不被列为威胁ip。

A3：建议：1. 和对方沟通，把你们业务出口IP加白 2. 了解封禁你们IP的原因，避免再次发生。总之还是要了解封禁的原因，否则备用IP有可能再次上黑名单。

A4：用户端的访问最好和业务的分开，业务访问我们一般都会备电信、联通的不同地址。

Q：是的，备用IP主要用来快速恢复业务访问，否则跟各方沟通解封太慢了。业务访问被封的概率没有上网的大，毕竟上网的内部终端更不可控，服务器终端纯粹一些。要是业务访问真被封了半天，估计双方都够吃一壶的。

A：情报社区还是要做个白名单审核。比如我们的IDC的IP网段，注册归属机构都会写一个标签。这类可以直接加白，不允许标注服务商的标签。类似这种可以减少很多误伤。地方通信公司、政府，在特殊时候，很容易根据小道消息误伤。

Q：A公司办公网互联网出口IP被威胁情报标记异常——万一这个异常是真的呢？

A1：多半是异常的，不然不会被标记，但是排查很难，所以只能以业务为先了。

A2：对，被标识或被阻断封禁的绝大部分是有恶意行为的，包括X讯一些公众号服务IP。情报可以归属和标签双重属性，直接加为白名单其实并不合适。

A3：同意，不要直接加白。对于公用类的IP可以考虑做一些标记。还可以考虑根据攻击频率，手法，攻击范围等，通过缩短标签有效时间，警告等级等，让用户设置封禁对应的告警等级。

A4：当能判定是真的的时候，应该就可以找过去让对方封堵查杀了。

A5：想要用好这把双刃剑，用户和威胁情报服务方，双方都需要付出努力。

----------------------------------------

如何进群？

如何下载群周报完整版？

请见下图：

本文始发于微信公众号（君哥的体历）：【实践讨论】当企业IP被标记为异常，且被其他企业封禁的应对措施