借助威胁情报和自动化手段，提升防护处置能力一、利用情报收缩攻击面1、背景与目的： 攻击队主要采用两种方式获取内网权限：一种是利用企业暴露在外的服务器端口和业务系统本身的0day或Nday，这些都是通过正常手段入侵内网，并通过横向移动获取整个内网.2、防守思路： 企业相关的IP、域名资产与威胁情报基础信息pDNS关联，可以通过信息资产扩展发现企业未记录的资产。3、攻防对抗过程： 在网络安全防护演习正式开始前，一般要提前至少一到两周，根据企业现有IP、资产，利用市面上威胁情报查询服务平台或企业内部自由威胁情报平台，关联企业资产开放服务端口，并利用市场上外部威胁情报监控平台对企业相关的敏感信息进行识别。4、应用效果： 经过演习，大多数攻击队都是利用暴露的端口、后台或敏感数据进行攻击，毕竟拥有0Day的攻击队并不多。该技战法可以在演习前全面收缩攻击面，最大程度避免演习中被攻破的几率。二、通过自动化分析脚本对海量共享情报IP进行封禁1、背景与目的： 经过综合研究分析，演习中情报共享是蓝队防守人员对抗红队攻击者的一个有效的防护手段，蓝队普遍的防御手段也是通过封禁IP来达到安全的目的，但是共享情报的来源并不是准确的，存在大量的误封现象，导致访问异常，而海量IP封禁也对防护设备是一个考验。面对共享情报中的海量攻击IP，如何有效区分存在威胁的Ip是企业遇到的难题2、思路： 结合情报白名单、IP关联签名及相关属性，并通过调用情报网站API接口进行自动化查询，自动匹配出存在威胁的IP或者剔除白名单IP、网关IP等，生成一份高可信的演习攻击IP，企业可以直接将经过自动化处理的IP进行封禁。3、攻防对抗过程： 利用情报共享交换群组或者第三方威胁情报厂商快速获取共享情报IP，并导入自动化分析工具。自动化分析工具根据威胁情报网站获取IP相应标签，去除带有CDN、移动基站、网关等IP。4、应用效果： 避免面对海量IP盲目封禁，导致误拦或防火墙过载的风险。演习中，人员有限，面对海量的共享情报IP无法进行一一识别，使用自动化脚本可以初步筛选后再导入，大大减少了IP误封数量，另外分析处置人员资源有限，面对每天上千僵尸网络的攻击，无法进行实时封禁，可通过态势感知或威胁感知设备API接口信息采集，实现自动化封禁，减少安全运维人员的工作压力，可以让更多的人力资源加入到分析溯源工作中去，从而实现溯源得分。