システムセキュリティは、サービスの安全で安定した実行を維持するための重要な要素です。 ネットワークの攻撃と防御の対立が熱くなるにつれて、大規模な自動攻撃、ワーム、ランサムウェア、マイニングプログラム、高度な永続的脅威 (APT) など、ますます多くの攻撃形態が出現します。 これは、システムのセキュリティに大きな課題をもたらします。

自動的にインストールされたシステムには、次のセキュリティ上の欠陥があり、システムが侵入に対して脆弱になります。
  • 不適切なシステム構成
    • 開かれた不要なポート: 一部の開かれたサービスとアプリケーションは不要であるため、攻撃対象が増加します。
    • Weak passwords: They are vulnerable to brute-force attacks, which causes intrusions into systems.
    • 不適切なポリシー設定: システムセキュリティポリシーが弱いか、設定されていません。
  • システムの脆弱性または必要なパッチがインストールされていない
    • コマンド実行の脆弱性: このタイプの脆弱性は、システムへの侵入を引き起こす任意のコマンドを実行するために悪用される可能性があります。
    • DoSの脆弱性: DoS攻撃を受けたシステムは、通常のサービスリクエストを拒否し、サービスが中断されます。
    • データ侵害の脆弱性: 機密データまたは機密データが侵害されています。

ケース: SambaのRCE脆弱性

Sambaは、LinuxおよびUNIXオペレーティングシステムでServer Message Block (SMB) プロトコルを実装するソフトウェアです。 Sambaを使用すると、コンピュータはファイルやプリンタなどのリソースを互いに共有できます。

Sambaでリモートコード実行 (RCE) の脆弱性が検出されます。 This vulnerability allows a client to upload a specified library file to a writable shared directory on a server, which causes the server to load and execute the library file.

CVE: CVE-2017-7494

影響スコープ:
  • SambaがインストールされているLinuxまたはUNIXオペレーティングシステム
  • Sambaバージョン: 4.6.4、4.5.10、および4.4.14。
主な影響:
  • コマンド実行: サーバーが侵害され、リモートコードの実行によりデータが侵害されます。
  • サービスの中断: SambaCryという名前のワームは、この脆弱性を悪用して拡散する可能性があります。 This worm mines cryptocurrency on compromised servers, which occupies a large number of computing resources on the servers. This may affect service availability or cause service interruptions.

Case: RCE vulnerability in an SMB server

SMBサーバーは、Windowsオペレーティングシステムに自動的にインストールされるサーバープロトコルコンポーネントです。 An RCE vulnerability is detected on the SMB server. This vulnerability allows an attacker to send specially crafted packets to the SMBv1 server and remotely execute code.

CVE: CVE-2017-0143

影響スコープ:
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2012ゴールド
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2008 R2 SP1
  • Microsoft Windows Server 2008 SP2
主な影響:
  • コマンド実行: サーバーが侵害され、リモートコードの実行によりデータが侵害されます。
  • Data loss: Worms, such as WannaCry, can exploit this vulnerability and spread. These worms encrypt files on compromised servers and cause data breaches.

Cloud Firewallを使用してシステムへの侵入を防ぐ方法

Alibaba Cloudセキュリティチームは、システムの脆弱性とその予防策を継続的に追跡および調査し、侵入防止の豊富な経験を蓄積してきました。 The prevention rules formulated based on the experience greatly enhance the system security defense of Cloud Firewall.

システムを期待どおりに実行できるようにするために、Cloud Firewallはシステムが遭遇するすべてのリスクに対してマルチポイントの予防策を提供します。
  • ブルートフォース攻撃: Cloud Firewallの脅威インテリジェンス機能は、ネットワーク全体の攻撃を検出し、事前にスキャンや侵入をブロックできます。
  • System vulnerabilities: Cloud Firewall prevents high-risk vulnerabilities of operating systems.
  • その他の攻撃: Cloud Firewallの基本的な保護機能は、リバースシェルやシステムファイル違反などの他のシステム攻撃を検出し、リアルタイムで攻撃をブロックします。

手順

  1. .
  2. 左側のナビゲーションウィンドウで、[侵入防御] > [防御設定] を選択します。
  3. In the Threat Engine Mode section of the Prevention Configuration page, select an option for Block Mode.
  4. In the Basic Protection section of the Prevention Configuration page, turn on Basic Policies.
  5. [防御設定] ページの [仮想パッチ] セクションで、[パッチ] をオンにします。