用过才知道，什么样的边界防御最靠谱

自从防火墙、IPS等防御设备出现以来，人们早就知道防御需要自动化，但这在实践中还远远没有实现。

之所以不可能，是因为企业对业务连续性的要求非常高，他们根本无法承受意外关闭的后果。事实上，如果你想一想，你就会明白安全是用来保护你的业务，而不是破坏它。

但随着攻防训练的深入和自动化攻击的兴起，企业正在常态化攻防训练，使其成为防御者获得更多响应时间的重要手段。

阻断的挑战：低效

这家经历过多次实际攻击和防御的基金公司（以下简称“A厂”）更加坚定了自动拦截网络攻击的愿望。

“当我们遇到安全事件时，我们首先会阅读警报，进行调查和判断，确认是否是真正的攻击，然后协调资源进行应对。”A厂总监表示。全程需要在SIEM、IPS、WAF等方面进行工作。在设备之间切换时，往往有成百上千个IP和域名需要手动写入防火墙。请阻止他们。

使用Excel 电子表格或在办公室大声喊叫来阻止xx IP 是很常见的。从检测攻击到阻止攻击，大量时间浪费在重复沟通和实施禁止列表上。

另一家知名券商（被称为“B厂”）也觉得流程非常“碎片化”。由于各种原因，安全团队不得不与网络部门协调，将IP地址手动输入到多个不同的防火墙中。全面禁止，阻止网络攻击。

由于通信成本高、时效性延迟，B厂的安全团队萌生了构建自己的拦截器的想法。

封禁的困境：误报

由于IPS等防御设备的存在，A基金公司并不缺乏拦截能力。但由于误报率较高，我们对于是否使用自动拦截犹豫不决。该公司管理着数千亿资金，错误区块造成的损失显然是不可接受的。

IP拦截是拦截红队网络攻击最直接、最常用的手段之一，使用频率非常高，尤其是在攻防演习中。但每次宣布禁令策略时都会接到业务团队的电话并不是一个好兆头。

“我们也担心会影响我们的业务。”联系微步OneSIG后，K兄弟的团队变得非常谨慎，一开始并没有开启拦截功能，也没有检测到只运行了。在此过程中验证了报警的准确性。

随着时间的推移，OneSIG自始至终没有出现误报，我这才松了口气，开启了拦截功能。

“OneSIG的自动拦截增加了安全团队的处理时间。”K哥表示，计算表明OneSIG可以拦截90%以上的网络攻击，误报率为0.03%。

事实上，K哥对于OneSIG的检测能力一直抱有很高的期望。与传统IPS相比，OneSIG集成了微步高精度威胁情报和漏洞情报，采用威胁情报和入侵防御双检测引擎。它是经过测试的同类型中少数能够自动检测和拦截入站和出站双向流量的威胁防护产品之一。

这一点非常重要。

某期货公司表示，在机房出口的防火墙和交换机之间串接了OneSIG，整体性能良好，没有出现误断现象。特别是，反向连接即使被攻破也可以在边界处被阻止，这弥补了在服务器上安装安全软件的不便。

协同与联动：开放

B厂与A厂不同，为了避免误封禁，有一个严格的规定：“SOC和SOAR都有封禁脚本，当发生报警时，先检查是否被列入白名单，然后再结合起来。” “我们建立了有效的核查机制。指定一段交易日，指定封禁时间，调用OneSIG封禁。 ”

块可以通过API 调用链接到SOC，因此整个过程本质上是半或全自动的，几乎不需要人工参与。

除了API之外，标准化的Syslog系统日志记录也是实现联动禁令的重要方式。

虽然API 集成有很多好处，比如灵活性强、实时性好、易于扩展等，但适用的场景相对有限，而Syslog 通过提供轻松传输日志信息来弥补这一缺陷。

“一开始我们只有一个API，但是使用后发现在某些场景下效果不是很好，然后我提交了一个请求，微步立即（Syslog）”K哥说道。目前OneSIG是边境非常重要的产品，可以与NDR等检测产品联动，逐步构建自动化防御系统。 ”

随着OneSIG使用的不断深入，多种设备将与OneSIG配合实现自动拦截。这已经成为A厂安全运营的习惯，也是OneSIG对K兄弟最大的价值。

改进与完善：共成长

总而言之，OneSIG在A工厂呆了一年多，被无数次攻击拦截。

“我想说，我们与OneSIG 一起成长。”K 兄弟认为，既然他们已经花费了这笔预算，他们应该充分利用该产品。

当K哥遇到自己处理不了的问题时，他总是立即联系微步请求改进。过去一年来，除了上述新的Syslog链接拦截方法之外，OneSIG的能力也有了显着提升。

拦截功能经过优化，可以绕过混合网络环境中的恶意DNS 请求，并且添加了新的警报主机页面，可以让您更清楚地了解内网上受感染的主机。大型防御显示屏也正在规划中。它将很快上市。很快就会实施。

但K哥并没有就此止步，他们下一步的扩张计划已经规划好了。在即将升级的新版本中，OneSIG的入侵防御能力得到了显着增强，包括了保护HTTPS流量的能力。输出连接到另外两个OneSIG（活动部署和备份部署）以替换过期的IPS。

在他看来，自动化边界保护至关重要，但IPS 和所谓的下一代防火墙都无法胜任这项任务。

结语

现在，无论是A厂还是B厂，OneSIG都已经相当成熟了。

“以我们现在的安全操作系统，整体运行得很好，没有什么特殊情况，我们不需要检查OneSIG后端。历史上，对于威胁防护，OneSIG本身是闭环运行的。”这五个字使用了一年多，是K兄弟对OneSIG最大的信念：“你不需要看”。

从这个角度来看，OneSIG 本身就运作得非常好。

原作者： u_15008065 转载来源： https://blog.51cto.com/u_15008065/11349922

#以上最可靠的边防信息来源仅供参考。相关信息请参见官方公告。