有備無患丨Cloudflare Gateway 防病毒功能全新上線！

近期，Cloudflare 邊緣節點提供對惡意軟體檢測和預防的直接支援，為 Gateway 用戶提供對抗安全威脅的另一道防線。

Cloudflare Gateway 保護員工和資料免受來自互聯網的威脅，而且不會為了安全而犧牲性能。Gateway 客戶連接到 Cloudflare 位於世界各地的 200 多個資料中心之一，由我們的網路應用內容和安全性原則來保護其互聯網流量，無需將流量回傳到中央位置。

從一開始就保護公司的基礎設施和設備不受惡意軟體的感染是 IT 管理員的首要任務之一。惡意軟體可造成廣泛的破壞：經營活動可能被勒索軟體破壞，敏感性資料可能被間諜軟體竊取，本地 CPU 資源可能被加密劫持惡意軟體利用以獲取經濟利益。

為了入侵網路，惡意行為者通常試圖通過電子郵件發送的附件或惡意連結傳播惡意軟體。近期，為了避開電子郵件安全檢查，攻擊者開始利用其他通訊管道（例如短信、語音和支援工單軟體）來傳播惡意軟體。

惡意軟體的破壞性影響，加上潛在入侵的龐大攻擊面，使得惡意軟體預防成為安全團隊最關心的問題。

沒有任何一種工具或方法能提供完美的安全，因此要採取分層防禦。並非所有威脅都是已知的，因此在用戶連接到含有潛在惡意內容的網站後，管理員就需要借助額外的檢查工具。

高度複雜的威脅可能成功入侵了使用者的網路，這時安全團隊的主要任務是快速確定攻擊範圍。在這些最壞的情況下，使用者訪問了一個被認定為惡意的域、網站或檔，對安全團隊而言，最後一道防線就是清楚瞭解針對其組織的攻擊來自何處以及什麼資源受到影響。

現在，借助 Cloudflare Gateway，您可以增強您的端點保護並防止惡意檔下載到員工的設備。在來自互聯網的檔通過最接近的 Cloudflare 邊緣資料中心時，Gateway 將對其進行掃描。Cloudflare 為客戶提供的這病毒掃描防禦，如同 DNS 和 HTTP 流量過濾，管理員不必購買額外的防病毒許可證，也不用考慮更新病毒定義。

在使用“假設入侵”方法時，安全團隊依賴於從所有可用的攻擊相關資訊中獲取可據以行動的洞察。一次較複雜的攻擊可能會以下方式展開：

在通過各種方式的嘗試入侵某個使用者的系統後（導致“假設入侵”方法），一個 0 階段植入工具（或 Dropper）放置於被入侵的設備上。

這個檔可能是完整的，也可能是某個大型植入工具的一部分，並向一個域發送 DNS 查詢——威脅研究機構此前並不知道該域與攻擊行動的 C2 相關。

對 C2 伺服器查詢的回應包含了指示植入工具可在何處下載該植入工具的更多元件的資訊。

植入工具根據 DNS 查詢結果連接到另一個域（威脅研究機構也未知其為惡意），以下載植入工具的額外元件。

完成構建的植入工具執行另一 C2 伺服器分配的任意數量任務。其中包括竊取本地檔、在網路中橫向移動、加密本地機器上的所有檔，甚至使用本地 CPU 來挖掘加密貨幣。

Cloudflare Gateway 並非簡單地監測和阻止對未知與 C2、DNS 隧道通訊相關或由某個功能變數名稱生成演算法（DGA）創建的域的查詢。Gateway 使用啟發式威脅研究方法來識別由 DGA 為上述攻擊目的而生成的查詢，從組織的日誌資料中檢測這些之前未知的威脅，並在安全管理員需要手動干預之前主動予以阻止。

威脅研究正在不斷發展。Cloudflare Gateway 降低了 IT 管理員跟上安全威脅步伐的負擔，提供源自 Cloudflare 網路的洞察來保護位於任何地方的大大小小的組織。