這裡不是在廣告喔!有個公司「ThreatSTOP」網站是 www.threatstop.com。
要注意的是它的服務模式 (Business Module),提供給企業的防火牆一組黑名單 IP,並加以阻擋,而且是動態名單,會經常變換的。這些 IP 都是 Bots, Trojans, Spam, Viruses...等的網路通聯對象,所謂的 Malware 聯繫造成的網路行為。很明顯的它在資訊安全防護主要是在偵測、阻擋階段,大多資安防護設備都是在這個階段,資訊安全防護有三階段:預防、偵測阻擋、矯正階段。防毒軟體橫跨三個階段,這也是防毒軟體受歡迎的主因,但現階段而言,有嚴重漏判問題。
相關服務說明可以參考這裡。提供服務可支援防火牆的清單在這裡。價格呢?網站上也有啦...就自行參考囉。這服務後面的夥伴(協力商,Partners) 在這裡,發現 Partners 中有好幾的都大有來頭呢,ShadowServer 是長期監控全球僵屍網路 (botnet),網站上還有其他許多統計資料可以參考的;DShield.org / Internet Storm Center 這是屬於 SANS 的一份子,主要由一群自願人士,努力蒐集許多網路事件,加以分析及統計,找出異常事件與威脅;PhishTank 是蒐集釣魚網站的資料庫,讓大家知道哪網站是詐騙網站或被寄宿釣魚網站的。所以它的後台都相當有料的喔!
重要的來了,它有提供試用服務,可以免費測試兩個月。它另外還有線上檢測哩,在這裡。可以上傳一個檔案 (Log File) 的方式或直接填到網站上提交。主要就是查送交資料中的 IP,比對有無惡意之 IP,所以只要提供 IP 清單也行。下圖是我測試結果:
這是相當不錯的服務模式,一但防火牆有這惡意 IP 清單,可以主動防禦這些惡意 IP 的攻擊、刺探等,或阻擋內部資料外洩到惡意 IP 的。達到化被動為主動。
之前貼過的一篇文:「偽裝防毒軟體的網站真多!還有內情!」,我把找到的可疑 IP 提交檢測:<提交範圍78.157.143.251及91.203.92.1~254>
結果,請自行思考囉!歡迎討論...
這服務其中有幾點需要特別注意:
1.外部惡意 IP 為防火牆阻擋,無法連線到內部網路:
防火牆阻擋這些連線也就夠了,這部分比較沒有爭議,在資安防禦上有達到預防作業。但對於經常引起的攻擊的內部目標 IP 及 Port,就需要特別加強防禦工事了。
2.內部網路對惡意 IP 的連線,也會被防火牆阻擋:
這問題就大了,為何內部網路會連線到惡意 IP 的?是誤判還是受到 Malware 的影響?這就需要人的介入,進行資安事件應變處理了,我想,大多都是「未知」惡意程式在搞鬼。
3.防火牆的惡意 IP 清單無法永遠保證可以 100% 阻擋:
阻擋永遠只是一時的,萬一連線的 IP 變更,沒有在阻擋的惡意 IP 清單中,哪...重要資料不就外洩了嗎?
4.防火牆的阻擋 IP 數量,幾乎都有一定極限:
這是最大問題,換句話說,就算這服務能提供完整的惡意 IP 清單,但你的防火牆也無法容納這完整 IP 清單的數量,且不同防火牆會有不同的 IP 限制的,因為,數量太大的清單會讓防火牆效能不佳,甚至 Crash。在目前網路上還都是壞人的年代,效果受到限制。
5.這服務與「化被動為主動之名稱解析篇 (The DNS of Changing from Passive to Active)」有互補之效。且兩個都非常適合在「雲端服務」。
沒有留言:
張貼留言