博客

利用情报来防御现实世界的攻击(毫不费力)

Joel Cohen 缩略图
乔尔·科恩
2022 年 12 月 14 日发布

对 Web应用的攻击在方法和目标上存在很大差异。 一些攻击多种多样,从机会主义的基于扫描的攻击到有针对性的复杂活动和脚本小子攻击,再到支持力度强大的黑客组织。 应对此类大范围攻击需要一套全面的安全工具,这些工具可以分层提供可靠的安全保障,与小屋屋顶防雨的方式并无二致。 现在标准的 WAF 主要保护、签名和规则在阻止大部分“雨”方面做得很好。 然而,他们在面对复杂甚至有针对性的攻击活动时处于劣势。 根据F5 实验室的研究,每天大约有三个严重漏洞被发布,这使得组织无法跟上。

攻击活动是经过协调和计划的威胁活动和攻击行为,在一段时间内具有明确的目标,通常针对特定目标。 目标不仅是命名的组织,也可能是网络基础设施类型。

这些活动很难被发现和缓解。 造成这种情况的两个主要原因是,这些活动要么经过精心设计,以逃避通常的 WAF 规则和签名,要么检测它们需要配置全面而粗略的安全策略,而这些策略可能会产生误报,使安全团队不堪重负,并有可能在大海捞针中没有注意到攻击。

也许对于许多人来说这并不是什么新鲜事,这也许就是你们阅读这篇文章、寻找解决方案的原因。 F5 的威胁活动就是这样一种解决方案,我们将在此解释其工作原理。

F5 威胁活动是一种情报服务,可以准确检测并阻止当前和正在进行的攻击活动,并且几乎不会出现误报。 它利用一支安全专家团队,致力于查找、分析和剖析现实中正在发生的攻击,其工具库包括不断受到威胁行为者攻击和瞄准的全球蜜罐网络等。

F5 威胁活动为您提供快速、先发制人的保护,防止当前正在进行的攻击活动侵入您的企业。 使用 F5 威胁活动非常简单,只需打开它即可,无需进行其他配置。 情报部门提供了有关威胁活动的性质和目的的丰富背景信息。 它将自动更新 F5 发布的最新活动。​

F5 Threat Campaigns 是F5 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)的订阅附加组件,包含在 F5 Distributed Cloud WAF 和 F5 NGINX App Protect WAF 中。 

F5 威胁活动的每项规定都是专门针对网络对手在野外检测到的攻击活动而制定的。 这与广泛签名方法不同,例如,广泛签名方法可能会尝试以通用方式检测多个漏洞和漏洞利用。

这种对特定活动的关注消除了误报检测的可能性,同时提供了针对真实持续攻击的低维护保护。 此外,由于误报风险低且活动精准,F5 发布新活动的周期很快,从而缩短了从检测到客户受到攻击之间的时间间隔。

F5 威胁活动提供了有关攻击活动的性质、其试图做什么、它对应用构成的风险以及攻击者的意图的更多见解。 这有助于安全操作员更好地了解可能攻击他们什么、如何攻击以及由谁攻击,并评估风险。

必须了解的是,F5 威胁活动并非旨在检测单一或随机攻击。 相反,它专注于通常大量检测到的现实世界攻击,这意味着用户面临更广泛的风险。 单一或随机攻击的例子可能是单个攻击者在一个站点上执行注入,或者当渗透测试人员尝试理论上可以利用但从未在实际攻击中使用过的 CVE。

这就是为什么像 F5 威胁活动这样的智能服务是对其他 WAF 保护(如签名)的补充,而不是替代。 它是一个额外的层,提供针对现实世界攻击的特定保护,没有误报,也不需要任何调整。 通过分层安全解决方案(如威胁活动),F5 可以为您的应用提供坚实的安全性,弥补攻击者可能利用的漏洞。

今年早些时候, F5 威胁活动世界地图发布,旨在通过洞察和遥测数据帮助企业更好地了解网络攻击活动。 在一篇博客文章中,Navpreet Gill 讨论了“F5 威胁活动世界地图……通过一起呈现洞察和遥测数据,有助于更深入地了解网络攻击活动。”

联系您的渠道合作伙伴或 F5 客户经理,了解有关如何向您的 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)添加F5 Threat Campaigns订阅或立即在您的 F5 Distributed Cloud WAF 或 NGINX App Protect WAF 解决方案上开始使用 F5 Threat Campaigns 的更多信息。