作为一名 IT 安全专家,您 – 正确地 – 假设您的公司基础设施受到攻击。 新威胁不断涌现,不法分子既有技能也有动机闯入网络窃取数据。
您还知道,阻止所有不良行为者闯入网络几乎是不可能的; 但您可以进行取证调查以了解幕后黑手并采取行动防止进一步的损害。 (另请阅读:数字取证:终极指南。)
这就是互联网协议 (IP) 地址情报的用武之地。IP 地址情报在数字取证中起着至关重要的作用,尤其是在涉及基于 VPN 的流量时。
就是这样:
什么是 IP 地址情报?
IP 地址情报通过为您提供各种类型的数据来帮助阐明特定用户的特征,例如:
地理位置数据。
IP地址特征。
屏蔽或匿名数据。
这些数据可以帮助您了解有关用户的重要背景信息,例如他们从何处访问您的网络、他们的身份是否通过 VPN 隐藏以及他们是否甚至是用户。 反过来,这些信息使您能够做出战略决策来保护您的公司。
让我们更深入地研究这些类型的数据:
地理位置数据
地理位置(经度/纬度)数据会告诉您流量来自哪里。
这对于标记可疑活动很有用——例如,如果您的公司仅限于东北地区,则来自加利福尼亚的流量高峰可能是一个危险信号。 一些国家不像其他国家那样积极起诉网络犯罪分子,促使许多公司自动阻止来自它们的流量。 (另请阅读:2022 年按国家/地区划分的 10 部最严格的数据隐私法。)
知识产权特征
有关 IP 特征的数据可以帮助您确定:
IP 地址的稳定性如何。
谁或什么在背后。
它已分配给的用户数。
无论是与家庭、企业还是数据中心相关联。
与之关联的公司和运营商名称。
在评估漏洞或做出有关如何保护网络的决策时,所有这些都提供了重要的背景信息。
屏蔽/匿名数据
IP 地址情报数据有助于识别试图通过匿名 VPN 或代理服务规避安全限制的用户。
匿名流量不一定是恶意的,但此类用户不应该访问公司基础设施。
VPN 的使用如何危及安全
那么,为什么 VPN 用户不能访问公司基础设施?
要回答这个问题,我们需要检查两种不同类型的 VPN 用户:
内部 VPN 用户。
外部 VPN 用户。
内部 VPN 用户
内部 VPN 用户是在公司园区内使用 VPN 服务的员工。 员工可以使用 VPN 来规避公司政策,例如禁止在办公室播放流媒体视频的政策。 在最坏的情况下,VPN 可用于将内部数据泄露到网络之外——安全工具无法始终检测到的事件。
当然,并非所有员工都出于不正当目的下载 VPN; 例如,有些人选择免费的 VPN 软件来绕过地理内容限制。 但这些员工仍然将自己和您的企业置于重大风险之中。 例如,一些免费 VPN 提供商会劫持住宅用户 IP 地址,完全拦截流量或插入恶意软件,当员工从家中登录时,这些恶意软件可以轻松进入您的公司网络。
这就是为什么了解您的员工可能使用的 VPN 的特征很重要。
外部 VPN 用户
外部 VPN 用户是指您组织之外的用户——而且可能比您想象的要多。
大流行期间 VPN 使用量猛增,客户很可能通过 VPN 服务访问您的网络。 许多人订阅 VPN 作为一种完全匿名上网的方式,有些人订阅 VPN 是为了规避数字版权管理 (DRM) 限制——许多 VPN 供应商都在吹嘘这些好处。 (另请阅读:考虑使用 VPN?根据您的需求做出正确的选择。)
有很多免费和付费的住宅代理服务,其中一些提供无日志记录功能,这是一个令人担忧的功能,因为它对犯罪分子非常友好。 一些 VPN 是将其计算机添加到僵尸网络的恶意软件。
当然,并非所有 VPN 用户都是坏人。 VPN 和代理最初是为安全而构建的。 然而,这些工具已经随着时间的推移而发展,现在被组织用来保护他们的业务,也被商业 VPN 提供商用来“保持匿名”在线。 因此,并非所有的 VPN 或代理都应该受到同样的对待,保持在 VPN 市场的领先地位很重要。 虽然仅知道谁提供用户的 VPN 服务并不能保护您的网络,但您可以利用这些知识采取切实的安全措施。
IP 地址情报如何帮助您做出战略性安全决策
IP 地址智能将帮助您制定一套规则,例如在特定情况下阻止、标记或允许使用围绕流量来源以及是否使用 VPN。
一旦您掌握了用户的 IP 地址数据,以下是一些有用的问题,可以问自己有关用户的问题:
1. 用户使用的是没有纸迹的VPN吗?
每个 VPN 和代理本质上都是匿名的,但如果用户犯罪会怎样?
在注册时需要特定信息(例如姓名、地址和有效账单信息)的 VPN 将有书面记录。 免费、允许匿名注册或通过预付信用卡或加密货币接受匿名支付的 VPN 可能会引起某些人的担忧,因为没有书面记录,因此在用户遭到恶意攻击时无法识别用户 活动。
2.地址是否属于托管设施?
属于托管设施的地址可能会受到怀疑,因为人类用户通常不位于托管设施中。 因此,属于托管设施的 IP 地址显然是代理。
来自遵守零信任安全框架的公司的出站流量将看起来好像来自托管设施。 从 IP 地址情报中收集的一些见解可以提供区分人和机器人所需的上下文。
将传统托管设施与防弹托管设施区分开来也是值得的。 防弹托管设施不遵守删除通知——即使它们来自执法部门。 阻止此流量可能是个好主意。
3. 用户是公司还是公众?
公司用户通常被认为是无害的。 但是,借助 IP 地址智能,您可以识别域名并了解竞争对手是否试图访问您的网络。
公共交通需要一些考虑,但这并不意味着它应该被自动阻止。 公共流量意味着从一个允许公共互联网访问的位置(例如图书馆或机场)代理多个用户,因此所有用户共享一个 IP 地址。 同样,IP 地址情报提供的上下文可以帮助您决定何时需要额外的身份验证。
企业 IP 地址情报提示
大型组织
大型组织可能在其基础架构中内置了高级别的安全性,以确保免受恶意软件、撞库攻击甚至内部威胁的侵害。 如果这是您的情况,您应该知道这些保护措施是否适用于您的内部系统、在家工作的用户以及可能没有最新保护措施的遗留系统。
IP 地址情报通过添加更深入的洞察力来主动审查日常活动并追溯调查任何事件,从而补充了大型组织的安全系统。
小型组织
对于较小的组织或安全保护较少的组织,IP 地址情报是帮助阻止恶意活动或允许来自安全位置(无论是物理位置还是虚拟位置)的流量的最低要求。
在最坏的情况下,来自您系统的 IP 地址情报和日志将使执法部门或调查人员能够了解发生了什么,阻止正在进行的事件,并防止它在未来发生。
零信任组织
对于其客户群使用零信任框架的组织,IP 数据对于允许他们访问您为他们创建的任何客户门户和服务至关重要。
安全系统会将他们的流量标记为来自托管设施,并可能将其标记为“无效流量”,而事实上,他们是您的客户。 任何使用零信任的组织都应该包括 IP 地址智能,以添加上下文来保护系统。
结论
IP 地址智能使您能够提出一系列问题,并根据您的回答采取明智的行动。 例如,免费的 VPN 服务会让您感到紧张吗? 如果执法部门需要参与,您是否更喜欢书面记录? 贵公司是否有出差员工从公共场所访问您的网络?
如果是,您可能需要考虑额外的身份验证步骤。
