相关栏目
资讯热点

云防火墙中控蠕虫防御最佳实践

发布时间:2022年03月29日 来源: 网络与信息技术中心 字体大小:

        蠕虫病毒是当前云上业务面临的主要威胁。它们利用服务器的漏洞在网络上扩散感染,执行各种恶意行为给用户资产和业务带来严重威胁。云防火墙针对蠕虫的攻击链路进行分层防御,可以检测和拦截多种蠕虫及其变种。同时可以基于云上风险态势,实时更新和扩展对最新蠕虫的检测和拦截能力。

蠕虫的威胁

蠕虫主要导致以下几种危害:

  • 业务中断:蠕虫在感染主机后,可能会进行修改配置、停止服务等操作,导致主机宕机、业务中断等风险。

  • 信息窃取:信息窃取类蠕虫,会将服务器上的数据打包回传,可能造成严重的信息泄漏、资源滥用。

  • 监管封锁:蠕虫对外传播过程大量发包,可能导致IP被监管单位封禁,直接导致业务中断。

  • 勒索:包含勒索功能的蠕虫通过对文件加密进行勒索,造成财产损失或导致数据丢失。

云防火墙解决方案

云防火墙针对蠕虫的攻击链路进行分层防御,可检测并拦截多种蠕虫及其变种。同时云防火墙也会基于云上风险态势,实时更新和扩展对最新蠕虫的检测和拦截能力。

典型的蠕虫类型如下:

  • DDG:利用Redis漏洞及爆破进行传播,感染后利用计算资源挖矿。

  • WannaCry:利用Windows漏洞进行传播,感染后主要进行勒索。

  • BillGates:利用爆破及应用漏洞进行传播,感染后构建僵尸网络进行DDoS攻击。

代表案例-DDG蠕虫

DDG是一种主要利用Redis漏洞及爆破等方式进行传播的活跃蠕虫,被感染的主机被加入僵尸网络后受控进行虚拟货币挖矿。

DDG蠕虫影响范围

  • 存在SSH弱口令的服务器。

  • 存在漏洞的Redis或其他类型的数据库服务器。

DDG蠕虫的主要危害

  • 业务中断:感染DDG蠕虫的主机主要被用来挖矿,挖矿会大量占用服务器计算资源,可能导致服务不可用或正常业务的中断。

  • 监管封闭:DDG蠕虫感染后会进一步扩散传播,可能会导致IP被监管单位封禁。

针对DDG攻击链的防御

云防火墙可针对DDG的攻击链进行实时检测和防御,从而阻断整个蠕虫的攻击和传播链路。

下图为云防火墙针对DDG攻击链的防御架构图:

防御架构

云防火墙可提供以下四种防御类型:

  • 防护白名单:云防火墙入侵防御模块不会对防护白名单中的流量进行拦截,加入到防护白名单的源/目的IP会被云防火墙视为可信流量并放行。

  • 威胁情报:云防火墙可扫描侦查威胁情报,并提供中控情报阻断。

  • 基础规则:支持恶意软件检测、中控通信拦截、后门通信拦截。

  • 虚拟补丁:针对漏洞利用的防护补丁,可实时防护热门的应用高危漏洞。

操作步骤

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择攻击防护>防护配置

  3. 防护配置页面威胁引擎运行模式模块选择拦截模式-宽松威胁引擎运行模式

  4. 高级设置模块中单击防护白名单,将内外双向流量的可信源源IP地址、目的IP地址或地址簿配置到防护白名单中。防护白名单

  5. 威胁情报模块中单击开启威胁情报威胁情报

  6. 基础防御模块中单击开启基础规则基础防御

  7. 虚拟补丁模块中单击开启补丁虚拟补丁