以「威脅情報」為核心的六大實(shí)戰(zhàn)攻防技巧

目前，國家級攻防演練正在進(jìn)行，國家規(guī)模的演練已經(jīng)成為檢驗(yàn)網(wǎng)絡(luò)強(qiáng)國建設(shè)的重器，同時，也是維護(hù)網(wǎng)絡(luò)空間安全的綢繆之舉。舉辦高質(zhì)量的網(wǎng)絡(luò)攻防演練可以發(fā)現(xiàn)目前網(wǎng)絡(luò)存在的隱患并及時彌補(bǔ)，加強(qiáng)部門之間協(xié)同響應(yīng)，同時也可為培養(yǎng)高水平網(wǎng)絡(luò)攻防人才提供技術(shù)支撐，為國家的網(wǎng)絡(luò)安全決策提供依據(jù)。

網(wǎng)絡(luò)安全的本質(zhì)在對抗，對抗的本質(zhì)在攻防兩端能力較量。在攻防演練中，隨著攻擊方技戰(zhàn)法變化，防守方面臨著更嚴(yán)峻的防守考驗(yàn)。

創(chuàng)宇結(jié)合多年來的實(shí)戰(zhàn)攻防對抗經(jīng)驗(yàn)，總結(jié)出防守方實(shí)戰(zhàn)防守痛點(diǎn)。

（一）互聯(lián)網(wǎng)暴露面過多，敏感信息外泄突出，存在影子資產(chǎn)

（二）漏洞、弱口令等脆弱性存在，核心防護(hù)缺乏

（三）人員安全意識不高，下屬單位防御薄弱，易成為入口點(diǎn)

（四）0day漏洞防范和檢測能力欠缺，情報獲取能力欠缺

（五）遠(yuǎn)程辦公（VPN接入）不安全，容易被攻擊者利用

（六）重要網(wǎng)絡(luò)缺乏有效隔離，內(nèi)網(wǎng)違規(guī)外連嚴(yán)重

（七）防守得分難，溯源到真實(shí)攻擊者難，防護(hù)人手不足

從以上防守方痛點(diǎn)看，資產(chǎn)梳理、情報獲取、追蹤溯源、威脅檢測是攻防演練過程中防守方需要做好的幾點(diǎn)重要事項(xiàng),而這些都指向防守方的威脅情報獲取能力。這也說明近年來，威脅情報在攻防演練中會扮演著越來越重要的角色。威脅情報是利用大數(shù)據(jù)聯(lián)防聯(lián)控能力，實(shí)現(xiàn)對威脅的感知。通過收集并分析威脅情報，其可以更快的發(fā)現(xiàn)攻擊威脅，更早的采取措施消除風(fēng)險，更容易的追蹤溯源分析，從而在攻防演練中取得更好的成績。

創(chuàng)宇安全團(tuán)隊(duì)結(jié)合以往多年參與攻防演練的實(shí)踐，并結(jié)合創(chuàng)宇威脅情報的特點(diǎn)，我們總結(jié)出了以下在實(shí)戰(zhàn)攻防演練中以【威脅情報】為核心，從【實(shí)戰(zhàn)防守場景】出發(fā)作為立足點(diǎn)的6大實(shí)戰(zhàn)防守技巧，多方位提升防守能力，助力防守方取得優(yōu)異成績。

場景一：利用創(chuàng)宇威脅情報實(shí)現(xiàn)資產(chǎn)梳理，減少攻防演練安全隱患

利用創(chuàng)宇安全智腦，可以輕松的實(shí)現(xiàn)

• 關(guān)聯(lián)子域名查詢

登陸創(chuàng)宇安全智腦（gac.yunaq.com），在輸入框中輸入域名進(jìn)行查詢，在查詢結(jié)果中，可以輕松獲取該域名關(guān)聯(lián)子域名和子域映射IP的信息。         

• IP反查域名反查

登陸創(chuàng)宇安全智腦（gac.yunaq.com），在輸入框中輸入域名進(jìn)行查詢，在查詢結(jié)果中，可以輕松獲取該域名當(dāng)前解析IP關(guān)聯(lián)的域名信息。

場景二：利用創(chuàng)宇威脅情報精準(zhǔn)發(fā)現(xiàn)紅隊(duì)攻擊IP

在攻防演練期間，發(fā)現(xiàn)的攻擊IP是可以獲得加分。因此，創(chuàng)宇威脅情報每日將提供：

• 小時更新的確認(rèn)、高危和疑似黑客情報

登陸創(chuàng)宇安全智腦（gac.yunaq.com），并加入創(chuàng)宇威脅情報攻防演練專版，其可以獲得小時級更新的確認(rèn)黑客情報、高危黑客情報和疑似黑客情報。

• 每日更新的攻擊IP TOP 500

登陸創(chuàng)宇安全智腦（gac.yunaq.com），并申請威脅情報訂閱服務(wù)專業(yè)版，其可以獲得每日更新攻擊IP TOP 500 郵件推送Excel。

場景三：利用創(chuàng)宇威脅情報賦能安全設(shè)備安全能力

在攻防演練期間，為了防止攻擊IP對安全設(shè)備的攻擊，可以通過創(chuàng)宇安全智腦獲取的高危IP，直接同步給安全設(shè)備，進(jìn)行訪問阻斷。

• 每日更新的攻擊IP TOP 500

登陸創(chuàng)宇安全智腦（gac.yunaq.com），并申請威脅情報訂閱服務(wù)專業(yè)版，其可以獲得每日更新攻擊IP TOP 500 郵件推送Excel。

場景四：利用創(chuàng)宇威脅情報攻擊行為數(shù)據(jù)獲取攻防演練報告撰寫材料

在攻防演練期間，需要撰寫相應(yīng)的安全報告，特別是攻擊行為描述。利用創(chuàng)宇安全智腦可以獲得：

• 攻擊IP攻擊行為描述

登陸創(chuàng)宇安全智腦（gac.yunaq.com），在輸入框中輸入IPv4或者IPv6進(jìn)行查詢，在查詢結(jié)果中，可以輕松獲取該IP的攻擊行為數(shù)據(jù)。

• 攻擊IP攻擊行業(yè)描述

登陸創(chuàng)宇安全智腦（gac.yunaq.com），在輸入框中輸入IPv4或者IPv6進(jìn)行查詢，在查詢結(jié)果中，可以輕松獲取該IP的攻擊行業(yè)數(shù)據(jù)。

場景五：利用創(chuàng)宇威脅情報批量查詢實(shí)現(xiàn)多源情報驗(yàn)證

在攻防演練期間，假如你收集了一批疑似危險IP，但你不確認(rèn)是否是攻擊IP，利用創(chuàng)宇安全智腦的批量查詢，可以輕松實(shí)現(xiàn)該數(shù)據(jù)批量信譽(yù)分析，從而實(shí)現(xiàn)多遠(yuǎn)情報驗(yàn)證。

• 批量數(shù)據(jù)查詢

登陸創(chuàng)宇安全智腦（gac.yunaq.com），在輸入框中點(diǎn)擊展開，并粘貼多個IPv4/IPv6進(jìn)行查詢，可以該數(shù)據(jù)的威脅結(jié)果。

場景六：利用創(chuàng)宇威脅情報協(xié)助追蹤溯源

除此之外， 在攻防演練期間創(chuàng)宇威脅情報也提供由安全人員提供的追蹤溯源服務(wù)。

創(chuàng)宇威脅情報介紹

創(chuàng)宇的威脅情報是基于創(chuàng)宇高市場份額的云防御體系，在向前防御和持續(xù)交火的過程中而積累的海量真實(shí)攻防數(shù)據(jù)。通過大數(shù)據(jù)和人工智能算法計(jì)算出來的高價值威脅情報，其特性包括：

• 原創(chuàng)情報源：關(guān)基「攻擊行為」數(shù)據(jù)（創(chuàng)宇盾）和資產(chǎn)測繪（ZoomEye）情報數(shù)據(jù)的結(jié)合；

• 獨(dú)特情報類型：國內(nèi)「海量的IPv6」威脅情報；

• 精準(zhǔn)情報：知道創(chuàng)宇超10年自生產(chǎn)自消費(fèi)的情報， 目前服務(wù)于百萬客戶使用、情報準(zhǔn)確度高、誤報率低

• 高時效情報：目前情報更新達(dá)到業(yè)內(nèi)前列15分鐘級的威脅情報更新頻率。

攻防演練期間，知道創(chuàng)宇安全智腦每日高頻推送【確認(rèn)黑客情報】【高危黑客情報】【疑似黑客情報】3類攻擊IP情報。

威脅情報攻擊IP推送服務(wù)數(shù)據(jù)來源來自于知道創(chuàng)宇的云防御系統(tǒng)，該系統(tǒng)防護(hù)了包括公安部、工信部、司法部、中交建、中廣核、中國華電等大量部委、政府、央企、能源等參演單位，情報可涵蓋大部分攻擊IP。

如需【免費(fèi)試用】了解如何獲取獲取威脅情報，輔助研判，快速阻斷威脅，請掃描下方二維碼。