網(wǎng)絡(luò)攻擊地圖看起來很花哨,但真的有用嗎?通常,涉及到安全的時(shí)候,上下文就成了關(guān)鍵。因此,IDG旗下CSO雜志審查了網(wǎng)上最流行的八大網(wǎng)絡(luò)攻擊地圖。雖然地圖本身很大程度上是上下文有限的養(yǎng)眼用品,卻也有些創(chuàng)新性用法可供使用。
老道的安全專家以一種過來人的眼光看待網(wǎng)絡(luò)攻擊地圖。他們把這稱之為“biu~biu~”地圖炮,模仿小孩子玩玩具槍時(shí)發(fā)出的聲音。事實(shí)上,其中一個(gè)地圖確實(shí)用這種聲音當(dāng)音效。
CSO采訪過的一些安全專家稱,如果指定有客戶要來的話,會(huì)在SOC(安全運(yùn)營中心)的屏幕上放出一張這種地圖,但僅僅看起來好看而已。實(shí)際上,大多數(shù)安全專家都用過這種地圖,但除了“行為藝術(shù)”,沒有任何真正的價(jià)值在里面。
一位安全高管在推特上說:“只要有價(jià)值,我們就用。”
關(guān)于網(wǎng)絡(luò)攻擊地圖,一個(gè)常見的誤解是:數(shù)據(jù)是實(shí)時(shí)的。然而并不是。大多數(shù)都只是已記錄攻擊的一個(gè)子集,或是已消毒數(shù)據(jù)包捕獲的回放。
但千萬別忽視養(yǎng)眼因素的有用程度:一位安全專家稱,他用這些好看的地圖讓中學(xué)生對安全行業(yè)產(chǎn)生興趣。這想法很聰明,因?yàn)槠聊簧系囊曈X效果和數(shù)據(jù)類型可產(chǎn)生對攻擊類型、方法和攻擊者的討論點(diǎn)。
一些SOC運(yùn)營者對客戶做同樣的事,用這些地圖來可視化攻擊類型,回答客戶的問題。同樣的,這些網(wǎng)絡(luò)攻擊地圖的價(jià)值不在于它們展示的數(shù)據(jù),而是它們作為開場白的用途。這是制作這些地圖的廠商們所熟知的東西,因?yàn)榈貓D本身就是銷售工具。
1. Norse
可能最著名的網(wǎng)絡(luò)攻擊地圖,就是Norse制作的那個(gè)了。Norse是一家在過去幾年里問題頻出的安全公司。關(guān)于自家地圖上呈現(xiàn)的數(shù)據(jù),Norse稱,顯示的攻擊“基于Norse蜜罐基礎(chǔ)設(shè)施實(shí)時(shí)流量的一個(gè)小子集。”
很有趣的一點(diǎn)是,公司企業(yè)可以在顯示的時(shí)候把自己的標(biāo)志也加到地圖上。
http://map.norsecorp.com/#/2. 卡巴斯基
最佳視覺與互動(dòng)顯示獎(jiǎng),歸屬卡巴斯基“網(wǎng)絡(luò)威脅實(shí)時(shí)地圖”——附加全局旋轉(zhuǎn)和縮放功能。
卡巴斯基地圖上顯示的攻擊,來自按需掃描和按訪問掃描,以及Web和電子郵件檢測。但其實(shí)時(shí)展示的實(shí)時(shí)性,尚不清楚。
https://cybermap.kaspersky.com/3. 飛塔
飛塔的網(wǎng)絡(luò)攻擊地圖很像Norse的那個(gè),似乎顯示的是已記錄事件的回放。顯示攻擊的同時(shí),屏幕左下角還會(huì)出現(xiàn)循環(huán)播放的各類統(tǒng)計(jì)數(shù)據(jù)。產(chǎn)品文檔中稱,飛塔客戶還可以建立自己的地圖。
https://threatmap.fortiguard.com/4. Check Point Software
Checkpoint Software 的“威脅云”(ThreatCloud),展示每天太平洋標(biāo)準(zhǔn)時(shí)間午夜零點(diǎn)(12:00 a.m)就重置的歷史數(shù)據(jù)。該地圖比Norse的更直觀,但基本結(jié)構(gòu)是一樣的。除了看回放,頂級攻擊者和目標(biāo)還可以看歷史記錄,有月統(tǒng)計(jì)數(shù)據(jù)和周統(tǒng)計(jì)數(shù)據(jù)。
https://threatmap.checkpoint.com/ThreatPortal/livemap.html5. 火眼
火眼的網(wǎng)絡(luò)攻擊地圖缺乏其他地圖所呈現(xiàn)的細(xì)節(jié),保持簡單明了。它追蹤歷史數(shù)據(jù),并按行業(yè)和攻擊者歸屬地劃分。展示的數(shù)據(jù)“基于真實(shí)攻擊數(shù)據(jù)的一個(gè)子集,進(jìn)行了視覺效果優(yōu)化。”
https://www.fireeye.com/cyber-map/threat-map.html6. Arbor Networks
Arbor Networks 的網(wǎng)絡(luò)攻擊地圖是與谷歌Ideas合作的混合地圖。該“數(shù)字攻擊地圖”(Digital Attack Map)以來自 Arbor ATLAS 威脅情報(bào)系統(tǒng)的數(shù)據(jù)跟蹤DDoS攻擊。原始數(shù)據(jù)源自300多家ISP客戶和130Tbps全球流量。該地圖可視化DDoS攻擊,并允許按規(guī)模和類型篩選。
http://www.digitalattackmap.com/7. 趨勢科技
趨勢科技的“僵尸網(wǎng)絡(luò)連接儀表板”(Botnet Connection Dashboard),是跟蹤全球僵尸網(wǎng)絡(luò)(及其目標(biāo))所用C&C(命令與控制)服務(wù)器的小型精簡網(wǎng)絡(luò)攻擊地圖。其所顯示數(shù)據(jù)的年齡未知,但歷史數(shù)據(jù)可回溯14天。
https://botnet-cd.trendmicro.com/8. 阿卡邁
阿卡邁實(shí)時(shí)監(jiān)視器不是一個(gè)典型的網(wǎng)絡(luò)攻擊地圖,但因?yàn)樗_實(shí)除了互聯(lián)網(wǎng)流量之外也跟蹤攻擊,所以就包含了進(jìn)來。一旦加載,便可以看到世界上哪些地區(qū)流量規(guī)模最大;另一個(gè)標(biāo)簽頁中,可以看到哪些地區(qū)正在經(jīng)受最多的攻擊。阿卡邁稱,這些數(shù)據(jù)是實(shí)時(shí)呈現(xiàn)的。
京公網(wǎng)安備 11010502049343號