Worms are a major threat to services in the cloud. ワームはサーバーの脆弱性を悪用してネットワークに拡散し、侵害されたサーバーで悪意のある操作を実行します。 Worm attacks pose serious threats to the assets and business of users. Cloud Firewallは、ワームの攻撃チェーンに対する階層防御を提供し、さまざまなワームを検出して傍受することができます。 また、Cloud Firewallは、クラウドからの脅威インテリジェンスに基づいて新しいワームを検出および傍受する機能を動的に更新および拡張します。

ワームの影響

ワームの攻撃により、次の問題が発生する可能性があります。

  • サービスの中断: ワームは、侵入先のサーバーで構成の変更やサービスの終了などの悪意のある操作を実行する可能性があります。 これにより、サーバーの故障やサービスの中断などのリスクが発生する可能性があります。
  • 情報盗難: 情報を盗むことを目的とするワームは、侵害されたサーバー上のデータを圧縮し、圧縮されたデータを攻撃者に送信します。 これにより、データ侵害やリソースの悪用が発生する可能性があります。
  • 規制管理: ワームがネットワーク上に広がると、ワームは多数のパケットを送信します。 これは、サービス中断をもたらすIPアドレスの規制制御をトリガし得る。 例えば、IPアドレスはブロックされ得る。
  • 経済的またはデータ損失: ランサムウェアワームは、侵害されたサーバー上のファイルを暗号化して身代金を取得します。

Cloud Firewallが提供するソリューション

Cloud Firewallは、ワームの攻撃チェーンに対する階層防御を提供し、さまざまなワームを検出して傍受することができます。 また、Cloud Firewallは、クラウドからの脅威インテリジェンスに基づいて新しいワームを検出および傍受する機能を動的に更新および拡張します。

以下のリストは、一般的なワームについて説明します。

  • DDG: spreads by exploiting Redis vulnerabilities and by launching brute-force attacks. このワームは、侵害されたサーバー上のコンピューティングリソースを使用して暗号通貨をマイニングします。
  • WannaCry: Windowsシステムの脆弱性を悪用して拡散し、サーバーに身代金を侵害します。
  • BillGates: アプリケーションの脆弱性を悪用し、ブルートフォース攻撃を開始することで拡散します。 このワームは、DDoS攻撃を開始するために侵害されたサーバーのボットネットを構築します。

ケース: DDGワーム

DDGは、Redisの脆弱性を悪用し、ブルートフォース攻撃を開始することによって拡散するアクティブなワームです。 侵害されたサーバーは、暗号通貨をマイニングするためにボットネットに追加されます。

DDGのインパクトスコープ

  • 弱いSSHパスワードを使用するサーバー
  • Redis or other database servers for which specific vulnerabilities exist

DDGの大きな影響

  • サービスの中断: DDGは、侵害されたサーバーで暗号通貨をマイニングします。その間、サーバー上の多数のコンピューティングリソースが占有されます。 これは、サービスの可用性に影響を与えたり、サービスの中断を引き起こします。
  • 規制管理: DDGがネットワーク上に広がると、DDGは多数のパケットを送信します。 これは、サービス中断をもたらすIPアドレスの規制制御をトリガし得る。 例えば、IPアドレスはブロックされ得る。

DDG攻撃チェーンに対する防御

Cloud Firewallは、DDG攻撃チェーンをリアルタイムで検出して防御します。 このようにして、ワームはブロックされ、拡散が防止されます。

Cloud Firewallは、次の侵入防止機能を提供します。

  • Whitelist: Cloud Firewall trusts the source and destination IP addresses that you specify in the whitelist and does not block the traffic of these IP addresses.
  • 脅威インテリジェンス: Cloud Firewallはサーバーで脅威インテリジェンスをスキャンし、脅威インテリジェンスに基づいてC&Cサーバーから悪意のある動作をブロックします。
  • 基本的な保護: Cloud Firewallはマルウェアを検出し、C&Cサーバーまたはバックドアとの間で送受信されるリクエストを傍受します。
  • 仮想パッチ適用: Cloud Firewallは、一般的なリスクの高いアプリケーションの脆弱性からリアルタイムでサービスを保護する仮想パッチを提供します。

手順

  1. Cloud Firewallコンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[侵入防御] > [防御設定] を選択します。
  3. [防御設定] ページの [脅威エンジンモード] セクションで、[ブロックモード] を選択します。 脅威エンジンモード
  4. [詳細設定] セクションで、[ホワイトリスト] をクリックします。 表示されるダイアログボックスで、信頼できる送信元IPアドレス、送信先IPアドレス、またはインバウンドトラフィックとアウトバウンドトラフィックの両方のアドレス帳を特定のホワイトリストに追加します。 Whitelist
  5. [脅威インテリジェンス] セクションで、[脅威インテリジェンス] をオンにします。 脅威インテリジェンス
  6. [基本保護] セクションで、[基本ポリシー] をオンにします。 基本的な保護
  7. [仮想パッチ] セクションで、[パッチ] をオンにします。 仮想パッチ

侵入防止機能を設定する方法の詳細については、「t21359.html#task_ocy_lxd_dfb」をご参照ください。