有備無患丨Cloudflare Gateway 防病毒功能全新上線!

近期,Cloudflare 邊緣節點提供對惡意軟體檢測和預防的直接支援,為 Gateway 用戶提供對抗安全威脅的另一道防線。 Cloudflare Gateway 保護員工和資料免受來自互聯網的威脅,而且不會為了安全而犧牲性能。Gateway 客戶連接到 Cloudflare 位於世界各地的 200 多個資料中心之一,由我們的網路應用內容和安全性原則來保護其互聯網流量,無需將流量回傳到中央位置。

2021-09-07
by 樂雲

有備無患

Cloudflare Gateway 防病毒功能全新上線!

近期,Cloudflare 邊緣節點提供對惡意軟體檢測和預防的直接支援,為 Gateway 用戶提供對抗安全威脅的另一道防線。

Cloudflare Gateway 保護員工和資料免受來自互聯網的威脅,而且不會為了安全而犧牲性能。Gateway 客戶連接到 Cloudflare 位於世界各地的 200 多個資料中心之一,由我們的網路應用內容和安全性原則來保護其互聯網流量,無需將流量回傳到中央位置。
去年,Gateway 從一個安全 DNS 過濾解決方案 3 擴展為一個完整的安全 Web 閘道(SWG),也能保護每一個用戶的 HTTP 流量。這使管理員不僅能檢測和阻止 DNS 層的威脅,還能檢測和阻止惡意 URL 和有害的檔案類型。此外,管理員現在可以一鍵創建高影響力、全公司範圍的策略來保護所有用戶,或者創建更精細的基於使用者身份的規則。

我們在 Cloudflare Gateway 中推出了應用程式策略,使管理員能容易阻止特定 Web 應用程式。借助這一功能,管理員能阻止那些常用於分發惡意軟體的應用程式,如雲檔存儲。

這些 Gateway 功能實現了安全性的分層策略。借助 Gateway 的 DNS 過濾,客戶免受濫用 DNS 協定以便與某個 C2 (命令與控制)伺服器通訊、下載植入負載或滲漏企業資料的威脅。DNS 過濾適用於所有產生 DNS 查詢的應用程式,而 HTTP 流量檢查則作為補充,深入到用戶流覽互聯網時可能遭遇到的威脅。

另一層防禦,在 Cloudflare Gateway 中增加防病毒保護。現在管理員能通過 Cloudflare 的邊緣節點阻止惡意軟體和其他惡意檔,以免其下載到企業設備上。

阻止惡意軟體傳播

從一開始就保護公司的基礎設施和設備不受惡意軟體的感染是 IT 管理員的首要任務之一。惡意軟體可造成廣泛的破壞:經營活動可能被勒索軟體破壞,敏感性資料可能被間諜軟體竊取,本地 CPU 資源可能被加密劫持惡意軟體利用以獲取經濟利益。

為了入侵網路,惡意行為者通常試圖通過電子郵件發送的附件或惡意連結傳播惡意軟體。近期,為了避開電子郵件安全檢查,攻擊者開始利用其他通訊管道(例如短信、語音和支援工單軟體)來傳播惡意軟體。

惡意軟體的破壞性影響,加上潛在入侵的龐大攻擊面,使得惡意軟體預防成為安全團隊最關心的問題。

縱深防禦

沒有任何一種工具或方法能提供完美的安全,因此要採取分層防禦。並非所有威脅都是已知的,因此在用戶連接到含有潛在惡意內容的網站後,管理員就需要借助額外的檢查工具。

高度複雜的威脅可能成功入侵了使用者的網路,這時安全團隊的主要任務是快速確定攻擊範圍。在這些最壞的情況下,使用者訪問了一個被認定為惡意的域、網站或檔,對安全團隊而言,最後一道防線就是清楚瞭解針對其組織的攻擊來自何處以及什麼資源受到影響。

隆重推出檔掃描

現在,借助 Cloudflare Gateway,您可以增強您的端點保護並防止惡意檔下載到員工的設備。在來自互聯網的檔通過最接近的 Cloudflare 邊緣資料中心時,Gateway 將對其進行掃描。Cloudflare 為客戶提供的這病毒掃描防禦,如同 DNS 和 HTTP 流量過濾,管理員不必購買額外的防病毒許可證,也不用考慮更新病毒定義。
當用戶發起下載,檔在 Cloudflare 邊緣通過 Gateway 時,這個檔會被發送至惡意軟體掃描引擎。這個引擎包含了惡意軟體樣本定義並每日更新。當 Gateway 掃描某個檔併發現存在惡意軟體時,其將通過重置連接來阻止檔案傳輸,結果是使用者流覽器中會顯示下載錯誤。Gateway 也會記錄檔的下載 URL,檔的 SHA-256 雜湊,以及該檔因存在惡意軟體而被阻止的日誌。

一種常見的安全方法是“假設入侵”。安全團隊假設承認並非所有威脅都是事先已知的,因此需要對快速回應威脅的能力進行優化。借助 Gateway,管理員可以利用 Gateway 的集中日誌記錄來全面瞭解威脅對其組織的影響,作為安全事件回應的一部分,為威脅補救提供清晰的步驟。

遭入侵後檢測惡意軟體

在使用“假設入侵”方法時,安全團隊依賴於從所有可用的攻擊相關資訊中獲取可據以行動的洞察。一次較複雜的攻擊可能會以下方式展開:

在通過各種方式的嘗試入侵某個使用者的系統後(導致“假設入侵”方法),一個 0 階段植入工具(或 Dropper)放置於被入侵的設備上。

這個檔可能是完整的,也可能是某個大型植入工具的一部分,並向一個域發送 DNS 查詢——威脅研究機構此前並不知道該域與攻擊行動的 C2 相關。

對 C2 伺服器查詢的回應包含了指示植入工具可在何處下載該植入工具的更多元件的資訊。

植入工具根據 DNS 查詢結果連接到另一個域(威脅研究機構也未知其為惡意),以下載植入工具的額外元件。

完成構建的植入工具執行另一 C2 伺服器分配的任意數量任務。其中包括竊取本地檔、在網路中橫向移動、加密本地機器上的所有檔,甚至使用本地 CPU 來挖掘加密貨幣。

Cloudflare Gateway 並非簡單地監測和阻止對未知與 C2、DNS 隧道通訊相關或由某個功能變數名稱生成演算法(DGA)創建的域的查詢。Gateway 使用啟發式威脅研究方法來識別由 DGA 為上述攻擊目的而生成的查詢,從組織的日誌資料中檢測這些之前未知的威脅,並在安全管理員需要手動干預之前主動予以阻止。

威脅研究正在不斷發展。Cloudflare Gateway 降低了 IT 管理員跟上安全威脅步伐的負擔,提供源自 Cloudflare 網路的洞察來保護位於任何地方的大大小小的組織。
讚分享
11