云安全中心、安骑士等主机侧安全服务软件通常用于监控主机侧安全情况,用于病毒查杀、脚本查杀、恶意命令执行等检测,这些安全服务软件可能被恶意卸载,导致安全服务无法对资产提供防护。
恶意卸载场景
内部员工违规操作
内部员工如果想进行违规操作,通常会选择先将主机侧安全软件卸载,避免违规操作被主机侧安全服务软件检测到而告警。
黑客攻击
黑客入侵云上系统后,为了更好的在主机上实施攻击行为而不引起企业安全工程师注意,卸载安全服务软件可以避免安全工程师接到失陷感知告警。
蠕虫、木马传播
蠕虫、木马通过下载恶意软件达到后门维持或数据窃取目的,卸载安全服务软件可以避免失陷感知告警。
云防火墙操作
当前云防火墙对安骑士卸载设置了观察模式,如您需要对云上环境禁止网络侧卸载,您可以登录云防火墙控制台,在页面,单击基础防御的自定义选择,将规则部分或全部开启为拦截模式,能有效阻止或缓解上述危害。
