當前,Cloud Firewall提供了包括漏洞防護、暴力破解、挖礦檢測、資訊泄露等防禦功能,覆蓋了ATT&CK各類威脅。然而,由於不同使用者的業務、情境和內部合規要求各不相同,在不同情境下直接封鎖相關功能可能會不合適。為瞭解決這個問題,Cloud Firewall將這些功能統一置為觀察模式或預設禁用模式。您可以根據自身業務情境和企業安全規則通過基礎規則和虛擬補丁的自訂規則進行觀察和攔截切換,實現網路防禦、業務監控和企業內部安全合規的最佳實務。
僅Cloud Firewall企業版和旗艦版支援自訂基礎防禦規則和虛擬補丁規則。
常用情境
以下是Cloud Firewall在安全防護中的一些常用情境。
初始訪問 | 執行 | 持久化 | 防禦規避 | 發現 | 命令與控制 |
供應鏈攻擊(開啟供應鏈下載或安裝監控) | 計劃任務或作業(禁止下載指令碼執行主機相關操作) | 計劃任務或作業(禁止下載指令碼執行主機相關操作) | 檔案或目錄許可權變更(禁止下載指令碼執行主機相關操作) | 網路服務掃描(禁止非法工具安裝) | 非應用程式層協議(禁止雲上遠端偵錯) |
無 | 無 | 無 | 隱藏檔案(禁止下載指令碼執行主機相關操作) | 安全軟體發現(禁止Server Guard等雲上安全服務惡意卸載) | 代理(禁止代理行為) |
無 | 無 | 無 | 清除歷史(禁止下載指令碼執行主機相關操作) | 系統資訊發現(禁止系統關鍵資訊泄露) | 遠端存取軟體(禁止使用遠控軟體) |
無 | 無 | 無 | 檔案刪除(禁止下載指令碼執行主機相關操作) | 無 | 協議隧道(禁止使用DNS over HTTPS) |
無 | 無 | 無 | 無 | 無 | Web服務(禁止訪問公用服務) |
免責聲明
Cloud Firewall基於Att&CK的最佳實務所述的規則,在不同情境中可能屬於人為正常操作,但也可能用於非法操作,故云防火牆預設處于禁止或觀察模式,避免因為使用者雲上不同使用情境而導致誤判誤攔截行為。您可以通過改變規則模式來解決所列舉諸多情境,但云防火牆不保證覆蓋所列舉的情境中所有子項功能,例如禁止非法工具安裝不等同禁止所有非法工具安裝,僅支援防護配置中所列舉專案。如您需要對子項功能進行擴充,可以通過提交工單諮詢售後人員。待Cloud Firewall研發工程師評估後,將通過規則等方式發布。