
调查:94%事件涉及匿名化基础设施
Spur Intelligence 对 200 多名安全从业者的调查显示,VPN、住宅代理等匿名化基础设施几乎出现在每起安全事件中。许多组织仍缺乏可据以判断身份和风险的上下文与流程,导致防护偏被动。建议将 IP 情报更早接入认证、访问控制与自动化处置。
安全团队手头可用的 IP 数据从未如此之多。每天,分析人员都会从不断扩大的厂商和平台生态中摄取 enrichment feeds、地理位置数据、信誉评分、遥测数据以及威胁情报。
然而,尽管信息如此丰富,许多组织仍面临一个根本性挑战:如何从噪声中筛选出谁在某个 IP 背后,以及接下来应采取什么行动。
一个例子是,Spur Intelligence 最近对 200 多名安全从业者开展的一项行业研究发现,匿名化基础设施——包括 VPN 和 residential proxy 网络——如今几乎出现在每一起安全事件中。
与此同时,该研究也显示,许多组织承认自己缺乏基于这些 IP 数据做出有效决策所需的可见性、上下文和运营工作流。
这些发现支持了一个更广泛的行业趋势:在管理基于 IP 的风险时,安全策略仍以被动应对为主。
匿名化基础设施的兴起
VPN 服务、residential proxy 网络以及其他匿名化工具的广泛可用,已经从根本上改变了网络犯罪分子的运作方式。Residential proxy 会通过消费者互联网连接转发流量,使恶意活动看起来与正常用户行为混杂在一起。VPN 服务则提供额外的匿名层,同时允许在不同地点和网络身份之间快速切换。因此,仅依赖信誉或静态封锁名单的传统方法正变得越来越不有效。
安全团队越来越多地遇到这样的攻击:单看 IP 地址本身,几乎无法立即看出其意图。
Spur 的研究显示,近一半公司报告称,通过 VPN 和 residential proxy 进行的账户接管尝试和凭证滥用,带来了显著的运营或财务影响。在这些事件中,一个地址可能看起来像住宅 IP、属于合法 ISP、且此前没有恶意信誉记录,但实际上仍是活跃攻击活动的一部分。
上下文缺口
当今安全运营面临的最主要障碍之一,是缺乏帮助判断连接背后究竟是谁的上下文信息。
Spur 的研究强化了这一观察:近一半受访者表示,缺乏上下文是其安全团队分析 IP 活动时面临的最大挑战。
地理位置和网络归属等基础 IP 属性仍然有用,但往往不足以解释活动背后的意图。
安全团队越来越需要更多层的上下文,包括基础设施分类、VPN 和代理归因、行为指标、历史使用模式、设备与会话关联,以及自动化和 bot 信号。
没有这些上下文,分析人员只能依据不完整的信息做决定。有了上下文,他们不仅能了解流量来自哪里,还能判断其为何可能代表更高风险。
被动式安全仍是常态
尽管组织认识到 IP 情报的价值,许多组织仍主要在调查阶段使用它。IP enrichment 通常是在告警已经产生后才应用,用于帮助分析人员回顾历史事件和调查事故。虽然这种方式有价值,但会限制 IP 情报的战略影响力。
越来越多安全团队正在探索如何把 IP 情报更早地推进到决策流程中。与其只用 IP 数据来调查事件,他们更希望它能实时影响安全结果。
Spur 的研究考察了这种分化:大多数受访者表示,他们将 IP 情报用于基础场景,但希望工作流更具预测性和情报驱动性。例子包括将 IP 情报用于自适应认证、基于风险的访问控制、欺诈防范工作流、自动化策略执行,以及会话风险评分。
主动应用 IP 情报的目标,是在事件升级之前做出更好的决策。
被忽视的内部匿名化风险
在关于匿名化基础设施的讨论中,外部威胁通常最受关注,但许多组织面临的第二个挑战其实更近在眼前。BYOD 政策、消费类应用和个人 VPN 的使用,扩大了匿名化流量进入企业环境的路径。冒充合法员工、在远程办公高度集中的环境中活动的 nation-state actors 也是另一种情况。
在很多情况下,组织难以看清员工在访问企业资源时是否正在使用代理服务、住宅网络或 VPN 工具。这会造成传统、以边界为中心的安全策略可能无法覆盖的盲区。
Spur 的研究证实了这一担忧:有高达 61% 的受访者表示,对于员工设备或消费类应用通过 residential proxy 暴露内部网络的潜在风险,他们的担忧程度为中等、略微或完全不担忧。
随着 zero-trust 架构持续成熟,安全团队必须把内部代理活动视为潜在风险信号,而不能简单假设受信任的用户和受信任的设备就自动意味着受信任的网络行为。
量化 IP 情报的有效性
许多组织投资于 IP 情报技术,但却难以量化其效果。过去,成功往往通过被拦截的威胁数量或 enrichment 覆盖率等指标来衡量。然而,这些指标可能无法完整体现运营价值。
Spur 的研究显示,组织在衡量 IP 情报工作成效方面的成熟度较低,而且有整整三分之一的公司根本没有进行衡量。
如今,安全领导者越来越关注调查时间、误报以及成本等结果性指标。这些指标与业务影响更为一致,也有助于证明对安全情报能力的投资合理。
在预算持续受限的情况下,证明可衡量的运营改进将变得越来越重要。
IP 情报的未来
IP 情报的下一阶段很可能由三大趋势定义。首先,组织将要求更丰富的上下文,而不是更多原始数据。分析人员需要的是归因、行为洞察和基础设施情报,而不只是更多指标。
其次,自动化将成为优先事项。安全团队越来越希望将 IP 情报直接集成到检测、防护和访问控制工作流中,而不是让它孤立在调查工具里。
第三,IP 情报将与决策更紧密地绑定。它不再只是一个 enrichment 层,而会越来越成为基于风险的安全控制的基础。
最终能够成功的组织,将是那些不再只满足于识别可疑 IP,而是着重理解其背后的基础设施、行为和意图的组织。在匿名化基础设施已成为网络犯罪常规组成部分的环境下,能否从检测迈向决策,最终将决定安全团队应对现代威胁的效率。