发生了什么
最近有某HX行动,某业务涉及让应急一下。
管了N十个站点。当然有一些奇怪的平时根本没了解的站点,是从被攻击队扫描的记录里看到的。
我是怎么做的
- 开启所有的防御
平时为了费控没开的也开了 - 有误杀的就开放特定接口
- 了解攻击者
预埋了一些探针,所谓探针就是你认为哪些算是攻击?比如 有A特征的算是攻击。
这样你能通过这一批攻击探测来知道有人在扫描,从而推倒出全部对方的扫描战术。 - 封禁封禁
当然并非直接拒绝算是封禁,也有其他比较柔和的低调的方案。
有什么启示或改善之处
- 了解自己的站点。
也就是WAF还能发挥一种作用,即几个月无正常访问流量的域名映射,应当提示考虑下线。这是我从某安全WAF运营看到的。
觉得 - 自动化,是的我们需要自动化
尽管我们做到针对性的防御。但是当我们了解到攻击者的某种特征时,应当一触发就自动封禁。
而非手工去做。
维护自动化,当需要防护的区域众多时,手工UI配置简直要命。
这就引出了自动化安全运营。
这也是下一步会重点建设的方向。