蠕蟲(chóng)病毒防御最佳實(shí)踐
蠕蟲(chóng)病毒是當(dāng)前云上業(yè)務(wù)面臨的主要威脅。它們利用服務(wù)器的漏洞在網(wǎng)絡(luò)上擴(kuò)散感染,執(zhí)行各種惡意行為給用戶資產(chǎn)和業(yè)務(wù)帶來(lái)嚴(yán)重威脅。云防火墻針對(duì)蠕蟲(chóng)的攻擊鏈路進(jìn)行分層防御,檢測(cè)和攔截多種蠕蟲(chóng)及其變種。同時(shí)基于云上風(fēng)險(xiǎn)態(tài)勢(shì),實(shí)時(shí)更新和擴(kuò)展對(duì)最新蠕蟲(chóng)的檢測(cè)和攔截能力。本文介紹云防火墻針對(duì)蠕蟲(chóng)病毒的防御方案。
蠕蟲(chóng)的威脅
蠕蟲(chóng)主要導(dǎo)致以下幾種危害:
業(yè)務(wù)中斷:蠕蟲(chóng)在感染主機(jī)后,可能會(huì)進(jìn)行修改配置、停止服務(wù)等操作,導(dǎo)致主機(jī)宕機(jī)、業(yè)務(wù)中斷等風(fēng)險(xiǎn)。
信息竊取:信息竊取類蠕蟲(chóng),會(huì)將服務(wù)器上的數(shù)據(jù)打包回傳,可能造成嚴(yán)重的信息泄露、資源濫用。
監(jiān)管封鎖:蠕蟲(chóng)對(duì)外傳播過(guò)程大量發(fā)包,可能導(dǎo)致IP被監(jiān)管單位封禁,直接導(dǎo)致業(yè)務(wù)中斷。
勒索:包含勒索功能的蠕蟲(chóng)通過(guò)對(duì)文件加密進(jìn)行勒索,造成財(cái)產(chǎn)損失或?qū)е聰?shù)據(jù)丟失。
云防火墻解決方案
云防火墻針對(duì)蠕蟲(chóng)的攻擊鏈路進(jìn)行分層防御,可檢測(cè)并攔截多種蠕蟲(chóng)及其變種。同時(shí)云防火墻也會(huì)基于云上風(fēng)險(xiǎn)態(tài)勢(shì),實(shí)時(shí)更新和擴(kuò)展對(duì)最新蠕蟲(chóng)的檢測(cè)和攔截能力。
典型的蠕蟲(chóng)類型如下:
DDG:利用Redis漏洞及爆破進(jìn)行傳播,感染后利用計(jì)算資源挖礦。
WannaCry:利用Windows漏洞進(jìn)行傳播,感染后主要進(jìn)行勒索。
BillGates:利用爆破及應(yīng)用漏洞進(jìn)行傳播,感染后構(gòu)建僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊。
代表案例-DDG蠕蟲(chóng)
DDG是一種主要利用Redis漏洞及爆破等方式進(jìn)行傳播的活躍蠕蟲(chóng),被感染的主機(jī)被加入僵尸網(wǎng)絡(luò)后受控進(jìn)行虛擬貨幣挖礦。
DDG蠕蟲(chóng)影響范圍
存在SSH弱口令的服務(wù)器。
存在漏洞的Redis或其他類型的數(shù)據(jù)庫(kù)服務(wù)器。
DDG蠕蟲(chóng)的主要危害
業(yè)務(wù)中斷:感染DDG蠕蟲(chóng)的主機(jī)主要被用來(lái)挖礦,挖礦會(huì)大量占用服務(wù)器計(jì)算資源,可能導(dǎo)致服務(wù)不可用或正常業(yè)務(wù)的中斷。
監(jiān)管封閉:DDG蠕蟲(chóng)感染后會(huì)進(jìn)一步擴(kuò)散傳播,可能會(huì)導(dǎo)致IP被監(jiān)管單位封禁。
針對(duì)DDG攻擊鏈的防御
云防火墻可針對(duì)DDG的攻擊鏈進(jìn)行實(shí)時(shí)檢測(cè)和防御,從而阻斷整個(gè)蠕蟲(chóng)的攻擊和傳播鏈路。
下圖為云防火墻針對(duì)DDG攻擊鏈的防御架構(gòu)圖:
云防火墻可提供以下四種防御類型:
防護(hù)白名單:云防火墻入侵防御模塊不會(huì)對(duì)防護(hù)白名單中的流量進(jìn)行攔截,加入到防護(hù)白名單的源/目的IP會(huì)被云防火墻視為可信流量并放行。
威脅情報(bào):云防火墻可掃描偵查威脅情報(bào),并提供情報(bào)阻斷。
基礎(chǔ)規(guī)則:支持惡意軟件檢測(cè)、通信攔截、后門(mén)通信攔截。
虛擬補(bǔ)丁:針對(duì)漏洞利用的防護(hù)補(bǔ)丁,可實(shí)時(shí)防護(hù)熱門(mén)的應(yīng)用高危漏洞。
操作步驟
登錄云防火墻控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇
。在IPS配置頁(yè)面威脅引擎運(yùn)行模式模塊選擇攔截模式-寬松。
在高級(jí)設(shè)置模塊中單擊防護(hù)白名單,將內(nèi)外雙向流量的可信源源IP地址、目的IP地址或地址簿配置到防護(hù)白名單中。
在威脅情報(bào)模塊中單擊開(kāi)啟威脅情報(bào)。
在基礎(chǔ)防御模塊中單擊開(kāi)啟基礎(chǔ)規(guī)則。
在虛擬補(bǔ)丁模塊中單擊開(kāi)啟補(bǔ)丁。
云防火墻的入侵防御策略配置的更多詳細(xì)內(nèi)容,請(qǐng)參見(jiàn)IPS配置。