协同防御是指同步检测和拦截整个知道创宇云防御平台识别的各类高危风险IP和攻击指纹,这些风险IP和攻击指纹是通过知道创宇安全智脑大数据平台清洗而来,安全智脑依据黑客的实时攻击行为和请求特征构建攻击画像模型,并结合知道创宇网络空间测绘引擎ZoomEye的测绘数据动态识别,能有效清洗各类高危风险IP攻击。
1. 协同防御总览
协同防御总览模块展示了当前知道创宇云防御安全大数据平台数据集的实时更新情况,其中包括了数据集更新时间及恶意IP总数,并提供了用户自行查询协同防御威胁情报的能力。
用户可通过点击“立即查询”跳转至协同防御威胁情报查询页面进行IP地址的查询
查询完成点击“去设置协同防御开关”可回到协同防御开关页面
2. 开关设置
协同防御开关设置模块具备重点行业攻击清洗、网络机器流量清洗、特定攻击行为清洗、重点保障攻击防护、IDC访问控制五种功能。
重点行业攻击清洗:结合各个行业的攻击态势将威胁数据分为政府组织、金融理财、教育文化、新闻媒体、医疗健康和其它共六个子功能;
网络机器流量清洗:分为恶意代理屏蔽、恶意IDC设备屏蔽、有攻击的基站屏蔽、定向扫描器屏蔽、洋葱路由屏蔽、星链IP屏蔽、撒旦IP屏蔽、APT攻击IP屏蔽九个子功能;
特定攻击行为清洗:分为漏洞扫描器攻击屏蔽,网络爆破屏蔽两个子功能;
重点保障攻击防护:分为重保专项攻击屏蔽一个子功能;
IDC访问控制:分为阿里云IDC、腾讯云IDC、百度云IDC等八个子功能。
除IDC访问控制中的子功能外,所有子功能下都可进行高威胁IP清洗模式和低威胁IP清洗模式的选择,另需注意,无论开启哪种清洗模式,都会默认同时开启境内,境外服务,且验证模式默认为验证码,用户可自行更换为主动拦截模式和指纹监测模式,关闭则同时关闭境内,境外服务,新设置将在2-5分钟内生效。
- 高威胁IP清洗:知道创宇自主研发威胁IP处理模式,通过攻击活跃度区别出高活跃度威胁攻击,针对性的对攻击活跃度高的IP进行清洗。
- 低威胁IP清洗:通过攻击活跃度区别出活跃度低的IP进行清洗。
- 主动拦截:当访问IP被识别为风险IP后直接进行拦截。
- 指纹监测:通过客户端指纹识别和JS跳转判断客户端是否为正常访问环境,如果是正常访问环境则对该请求放行,如果不是正常访问环境则直接进行拦截。
- 验证码:当访问IP被识别为风险IP后会要求用户输入验证码以确定是否为正常人类访问。
- 前置防御:在客户端首次访问业务系统时,会先进行一次浏览器的安全校验(如:网络连接、恶意插件、机器流量等),如果浏览器是安全访问环境则对该请求放行,如果不是正常访问环境则直接进行拦截。
- AI识别:通过执行JS、AI分析客户端环境是否为正常安全访问环境,页面会提醒等待,如果是正常安全访问环境则对该请求放行,如果不是正常安全访问环境则直接进行拦截。
重要:
模式选择:高威胁IP清洗模式和低威胁IP清洗模式的选择取决于用户自身对安全性的考量,两种模式都开启则安全性能较高,仅开启高威胁IP清洗模式可防止在低威胁IP清理模式下会出现的误清洗。
验证方式选择:使用该功能过程当中,建议优先选择指纹监测拦截方式,其次选择验证码拦截方式,只有当网站安全态势十分严峻时(重点保障时期、护网攻防演练时期,政治黑客活跃时期等)再选择主动拦截方式。