安全企业GreyNoise近日发布了免费的遭黑通知服务GreyNoise Alerts,当用户注册并输入“无类型域名间路径选择”(Classless Inter-Domain Routing,CIDR)之后,GreyNoise只要发现在该范围内网络有产生任何的攻击流量或大规模扫描行为,就会通过电子邮件通知用户。
该服务奠基在GreyNoise的日常操作,该公司平常就在搜集、分析与标记全球网络的扫描与攻击行为。网络扫描指的是从直接连接网络的每个设备上搜集各种信息,且估计至少有数万人持续在扫描全球网络,好人扫描网络可能是为了计算在网络上曝光的漏洞、评估软件市场占有率,或者是关注僵尸网络,但坏人扫描网络可能是要找出含有漏洞的设备以发动攻击,包括Shodan、Censys或Rapid7的Project Sonar都能用来扫描全球网络。
而GreyNoise则是通过于全球各地部署的数百台服务器,来观察这些全球性的扫描行为,包括有多少人在扫描网络?扫描的流量来自哪些IPs?或者是他们扫描的目的是什么?因而能够分析发动扫描的对象是立意良善或是恶意的。
目前的GreyNoise Alerts服务为测试版,用户只要输入各个CIDR区块,并附上名称与间隔,当GreyNoise观察到有任何的网络扫描或攻击行动源自相关区块所涵盖的IP地址时,就会发送电子邮件通知用户。
一般的免费用户会在一天内收到通知,若是大型企业客户则会即时收到邮件通知,未来也会添加Slack通知、资料输出附加文件及集成安全事件管理(SIEM)等功能。