当前,云防火墙提供了包括漏洞防护、暴力破解、挖矿检测、信息泄露等防御功能,覆盖了ATT&CK各类威胁。然而,由于不同用户的业务、场景和内部合规要求各不相同,在不同场景下直接封禁相关功能可能会不合适。为了解决这个问题,云防火墙将这些功能统一置为观察模式或默认禁用模式。您可以根据自身业务场景和企业安全规则通过基础规则和虚拟补丁的自定义规则进行观察和拦截切换,实现网络防御、业务监控和企业内部安全合规的最佳实践。
仅云防火墙企业版和旗舰版支持自定义基础防御规则和虚拟补丁规则。
常用场景
以下是云防火墙在安全防护中的一些常用场景。
初始访问 | 执行 | 持久化 | 防御规避 | 发现 | 命令与控制 |
供应链攻击(开启供应链下载或安装监控) | 计划任务或作业(禁止下载脚本执行主机相关操作) | 计划任务或作业(禁止下载脚本执行主机相关操作) | 文件或目录权限变更(禁止下载脚本执行主机相关操作) | 网络服务扫描(禁止非法工具安装) | 非应用层协议(禁止云上远程调试) |
无 | 无 | 无 | 隐藏文件(禁止下载脚本执行主机相关操作) | 安全软件发现(禁止安骑士等云上安全服务恶意卸载) | 代理(禁止代理行为) |
无 | 无 | 无 | 清除历史(禁止下载脚本执行主机相关操作) | 系统信息发现(禁止系统关键信息泄露) | 远程访问软件(禁止使用远控软件) |
无 | 无 | 无 | 文件删除(禁止下载脚本执行主机相关操作) | 无 | 协议隧道(禁止使用DNS over HTTPS) |
无 | 无 | 无 | 无 | 无 | Web服务(禁止访问公共服务) |
免责声明
云防火墙基于Att&CK的最佳实践所述的规则,在不同场景中可能属于人为正常操作,但也可能用于非法操作,故云防火墙默认处于禁止或观察模式,避免因为用户云上不同使用场景而导致误报误拦截行为。您可以通过改变规则模式来解决所列举诸多场景,但云防火墙不保证覆盖所列举的场景中所有子项功能,例如禁止非法工具安装不等同禁止所有非法工具安装,仅支持防护配置中所列举项目。如您需要对子项功能进行扩充,可以通过提交工单咨询售后人员。待云防火墙研发工程师评估后,将通过规则等方式发布。