系統安全是業務安全穩定啟動並執行重要因素之一,隨著網路安全對抗的愈演愈烈,規模化的自動化攻擊、蠕蟲、勒索、挖礦、APT等攻擊形式逐漸增多,給系統的安全運行帶來了很大的挑戰。本文介紹Cloud Firewall如何防禦系統入侵。
預設安裝的系統存在以下安全威脅,易導致系統被入侵:
系統配置不合理
連接埠開放不當:開放不必要的服務和應用,增加攻擊面。
弱口令:易遭受暴力破解,造成系統被入侵。
策略配置:系統安全性原則弱或未配置安全性原則。
系統漏洞或補丁缺失
命令執行漏洞:任意命令執行,導致系統被入侵。
拒絕服務漏洞:系統拒絕服務,造成業務中斷。
資訊泄露漏洞:資料泄露。
代表案例:Samba遠程代碼執行
Samba是運行於Linux和Unix系統中實現SMB協議的軟體,可以實現不同電腦之間提供檔案及印表機等資源的共用服務。
Samba伺服器軟體存在遠程執行代碼漏洞。攻擊者可以利用用戶端將指定庫檔案上傳到具有可寫入權限的共用目錄,會導致伺服器載入並執行指定的庫檔案。
CVE:CVE-2017-7494。
漏洞影響範圍:
安裝Samba軟體的Linux或Unix系統。
Samba版本:4.6.4、4.5.10、4.4.14。
漏洞主要危害:
命令執行:通過遠程代碼執行,造成伺服器的淪陷和資訊泄露。
業務中斷:存在利用此漏洞進行傳播的蠕蟲SambaCry,成功感染後會進行挖礦,大量佔用伺服器計算資源,從而可能導致服務不可用或正常業務的中斷。
典型案例:SMB遠程代碼執行
SMB Server是Windows作業系統中預設安裝的一個伺服器協議組件。Windows SMB中存在遠程代碼執行漏洞,遠程攻擊者可通過發送特製的資料包至SMBv1伺服器利用該漏洞執行代碼。
CVE:CVE-2017-0143。
漏洞影響範圍:
Microsoft Windows Server 2016。
Microsoft Windows server 2012 Gold。
Microsoft Windows Server 2012 R2。
Microsoft Windows Server 2008 R2 SP1。
Microsoft Windows Server 2008 SP2。
主要危害:
命令執行:通過遠程代碼執行,造成伺服器的淪陷和資訊泄露。
資料丟失:存在利用此漏洞進行傳播的蠕蟲,如WannaCry,成功感染後會加密檔案並造成資訊泄露。
阿里雲Cloud Firewall如何防禦系統入侵
阿里雲安全在系統漏洞攻防實戰中進行了長期的跟蹤和研究,積累了大量的攻防經驗,並轉化為防禦規則,有力提升了Cloud Firewall對系統安全的防禦能力。
Cloud Firewall對系統面臨的所有風險進行多點防禦,保障系統的正常運行。
暴力破解:Cloud Firewall提供威脅情報入侵防禦,可感知全網攻擊態勢,提前阻斷掃描和入侵行為。
系統漏洞:Cloud Firewall提供系統漏洞入侵防禦,對作業系統的高危漏洞進行重點防禦。
其他攻擊:Cloud Firewall提供基礎規則防禦,對其他類型系統攻擊,如Shell反彈和系統檔案泄露等提供檢測和即時阻斷。
操作步驟
在左側導覽列,選擇。
在IPS配置頁面的威脅引擎運行模式地區選取項目攔截模式。
在IPS配置頁面的基礎防禦地區中單擊開啟基礎規則。
在防護配置頁面的虛擬補丁地區中單擊開啟補丁。
