系統(tǒng)安全防御最佳實踐
系統(tǒng)安全是業(yè)務(wù)安全穩(wěn)定運行的重要因素之一,隨著網(wǎng)絡(luò)安全對抗的愈演愈烈,規(guī)模化的自動化攻擊、蠕蟲、勒索、挖礦、APT等攻擊形式逐漸增多,給系統(tǒng)的安全運行帶來了很大的挑戰(zhàn)。本文介紹云防火墻如何防御系統(tǒng)入侵。
默認安裝的系統(tǒng)存在以下安全威脅,易導(dǎo)致系統(tǒng)被入侵:
系統(tǒng)配置不合理
端口開放不當:開放不必要的服務(wù)和應(yīng)用,增加攻擊面。
弱口令:易遭受暴力破解,造成系統(tǒng)被入侵。
策略配置:系統(tǒng)安全策略弱或未配置安全策略。
系統(tǒng)漏洞或補丁缺失
命令執(zhí)行漏洞:任意命令執(zhí)行,導(dǎo)致系統(tǒng)被入侵。
拒絕服務(wù)漏洞:系統(tǒng)拒絕服務(wù),造成業(yè)務(wù)中斷。
信息泄露漏洞:數(shù)據(jù)泄露。
代表案例:Samba遠程代碼執(zhí)行
Samba是運行于Linux和Unix系統(tǒng)中實現(xiàn)SMB協(xié)議的軟件,可以實現(xiàn)不同計算機之間提供文件及打印機等資源的共享服務(wù)。
Samba服務(wù)器軟件存在遠程執(zhí)行代碼漏洞。攻擊者可以利用客戶端將指定庫文件上傳到具有可寫權(quán)限的共享目錄,會導(dǎo)致服務(wù)器加載并執(zhí)行指定的庫文件。
CVE:CVE-2017-7494。
漏洞影響范圍:
安裝Samba軟件的Linux或Unix系統(tǒng)。
Samba版本:4.6.4、4.5.10、4.4.14。
漏洞主要危害:
命令執(zhí)行:通過遠程代碼執(zhí)行,造成服務(wù)器的淪陷和信息泄露。
業(yè)務(wù)中斷:存在利用此漏洞進行傳播的蠕蟲SambaCry,成功感染后會進行挖礦,大量占用服務(wù)器計算資源,從而可能導(dǎo)致服務(wù)不可用或正常業(yè)務(wù)的中斷。
典型案例:SMB遠程代碼執(zhí)行
SMB Server是Windows操作系統(tǒng)中默認安裝的一個服務(wù)器協(xié)議組件。Windows SMB中存在遠程代碼執(zhí)行漏洞,遠程攻擊者可通過發(fā)送特制的數(shù)據(jù)包至SMBv1服務(wù)器利用該漏洞執(zhí)行代碼。
CVE:CVE-2017-0143。
漏洞影響范圍:
Microsoft Windows Server 2016。
Microsoft Windows server 2012 Gold。
Microsoft Windows Server 2012 R2。
Microsoft Windows Server 2008 R2 SP1。
Microsoft Windows Server 2008 SP2。
主要危害:
命令執(zhí)行:通過遠程代碼執(zhí)行,造成服務(wù)器的淪陷和信息泄露。
數(shù)據(jù)丟失:存在利用此漏洞進行傳播的蠕蟲,如WannaCry,成功感染后會加密文件并造成信息泄露。
阿里云云防火墻如何防御系統(tǒng)入侵
阿里云安全在系統(tǒng)漏洞攻防實戰(zhàn)中進行了長期的跟蹤和研究,積累了大量的攻防經(jīng)驗,并轉(zhuǎn)化為防御規(guī)則,有力提升了云防火墻對系統(tǒng)安全的防御能力。
云防火墻對系統(tǒng)面臨的所有風(fēng)險進行多點防御,保障系統(tǒng)的正常運行。
暴力破解:云防火墻提供威脅情報入侵防御,可感知全網(wǎng)攻擊態(tài)勢,提前阻斷掃描和入侵行為。
系統(tǒng)漏洞:云防火墻提供系統(tǒng)漏洞入侵防御,對操作系統(tǒng)的高危漏洞進行重點防御。
其他攻擊:云防火墻提供基礎(chǔ)規(guī)則防御,對其他類型系統(tǒng)攻擊,如Shell反彈和系統(tǒng)文件泄露等提供檢測和實時阻斷。
操作步驟
登錄云防火墻控制臺。
在左側(cè)導(dǎo)航欄,選擇
。在IPS配置頁面的威脅引擎運行模式區(qū)域選擇攔截模式。
在IPS配置頁面的基礎(chǔ)防御區(qū)域中單擊開啟基礎(chǔ)規(guī)則。
在防護配置頁面的虛擬補丁區(qū)域中單擊開啟補丁。