蠕蟲病毒是當前云上業務面臨的主要威脅。它們利用服務器的漏洞在網絡上擴散感染,執行各種惡意行為給用戶資產和業務帶來嚴重威脅。云防火墻針對蠕蟲的攻擊鏈路進行分層防御,檢測和攔截多種蠕蟲及其變種。同時基于云上風險態勢,實時更新和擴展對最新蠕蟲的檢測和攔截能力。本文介紹云防火墻針對蠕蟲病毒的防御方案。
蠕蟲的威脅
蠕蟲主要導致以下幾種危害:
業務中斷:蠕蟲在感染主機后,可能會進行修改配置、停止服務等操作,導致主機宕機、業務中斷等風險。
信息竊取:信息竊取類蠕蟲,會將服務器上的數據打包回傳,可能造成嚴重的信息泄露、資源濫用。
監管封鎖:蠕蟲對外傳播過程大量發包,可能導致IP被監管單位封禁,直接導致業務中斷。
勒索:包含勒索功能的蠕蟲通過對文件加密進行勒索,造成財產損失或導致數據丟失。
云防火墻解決方案
云防火墻針對蠕蟲的攻擊鏈路進行分層防御,可檢測并攔截多種蠕蟲及其變種。同時云防火墻也會基于云上風險態勢,實時更新和擴展對最新蠕蟲的檢測和攔截能力。
典型的蠕蟲類型如下:
DDG:利用Redis漏洞及爆破進行傳播,感染后利用計算資源挖礦。
WannaCry:利用Windows漏洞進行傳播,感染后主要進行勒索。
BillGates:利用爆破及應用漏洞進行傳播,感染后構建僵尸網絡進行DDoS攻擊。
代表案例-DDG蠕蟲
DDG是一種主要利用Redis漏洞及爆破等方式進行傳播的活躍蠕蟲,被感染的主機被加入僵尸網絡后受控進行虛擬貨幣挖礦。
DDG蠕蟲影響范圍
存在SSH弱口令的服務器。
存在漏洞的Redis或其他類型的數據庫服務器。
DDG蠕蟲的主要危害
業務中斷:感染DDG蠕蟲的主機主要被用來挖礦,挖礦會大量占用服務器計算資源,可能導致服務不可用或正常業務的中斷。
監管封閉:DDG蠕蟲感染后會進一步擴散傳播,可能會導致IP被監管單位封禁。
針對DDG攻擊鏈的防御
云防火墻可針對DDG的攻擊鏈進行實時檢測和防御,從而阻斷整個蠕蟲的攻擊和傳播鏈路。
下圖為云防火墻針對DDG攻擊鏈的防御架構圖:
云防火墻可提供以下四種防御類型:
防護白名單:云防火墻入侵防御模塊不會對防護白名單中的流量進行攔截,加入到防護白名單的源/目的IP會被云防火墻視為可信流量并放行。
威脅情報:云防火墻可掃描偵查威脅情報,并提供情報阻斷。
基礎規則:支持惡意軟件檢測、通信攔截、后門通信攔截。
虛擬補丁:針對漏洞利用的防護補丁,可實時防護熱門的應用高危漏洞。
操作步驟
登錄云防火墻控制臺。
在左側導航欄,選擇。
在IPS配置頁面威脅引擎運行模式模塊選擇攔截模式-寬松。
在高級設置模塊中單擊防護白名單,將內外雙向流量的可信源源IP地址、目的IP地址或地址簿配置到防護白名單中。
在威脅情報模塊中單擊開啟威脅情報。
在基礎防御模塊中單擊開啟基礎規則。
在虛擬補丁模塊中單擊開啟補丁。
云防火墻的入侵防御策略配置的更多詳細內容,請參見IPS配置。