系统安全是业务安全稳定运行的重要因素之一,随着网络安全对抗的愈演愈烈,规模化的自动化攻击、蠕虫、勒索、挖矿、APT等攻击形式逐渐增多,给系统的安全运行带来了很大的挑战。

默认安装的系统存在以下安全威胁,易导致系统被入侵:
  • 系统配置不合理
    • 端口开放不当:开放不必要的服务和应用,增加攻击面。
    • 弱口令:易遭受暴力破解,造成系统被入侵。
    • 策略配置:系统安全策略弱或未配置安全策略。
  • 系统漏洞或补丁缺失
    • 命令执行漏洞:任意命令执行,导致系统被入侵。
    • 拒绝服务漏洞:系统拒绝服务,造成业务中断。
    • 信息泄露漏洞:数据泄露。

代表案例-Samba远程代码执行

Samba是运行于Linux和Unix系统中实现SMB协议的软件,可以实现不同计算机之间提供文件及打印机等资源的共享服务。

Samba服务器软件存在远程执行代码漏洞。攻击者可以利用客户端将指定库文件上传到具有可写权限的共享目录,会导致服务器加载并执行指定的库文件。

CVE:CVE-2017-7494。

漏洞影响范围:
  • 安装Samba软件的Linux或Unix系统。
  • Samba版本:4.6.4、4.5.10、4.4.14。
漏洞主要危害:
  • 命令执行:通过远程代码执行,造成服务器的沦陷和信息泄露。
  • 业务中断:存在利用此漏洞进行传播的蠕虫SambaCry,成功感染后会进行挖矿,大量占用服务器计算资源,从而可能导致服务不可用或正常业务的中断。

代表案例-SMB远程代码执行

SMB Server是Windows操作系统中默认安装的一个服务器协议组件。Windows SMB中存在远程代码执行漏洞,远程攻击者可通过发送特制的数据包至SMBv1服务器利用该漏洞执行代码。

CVE:CVE-2017-0143。

漏洞影响范围:
  • Microsoft Windows Server 2016。
  • Microsoft Windows server 2012 Gold。
  • Microsoft Windows Server 2012 R2。
  • Microsoft Windows Server 2008 R2 SP1。
  • Microsoft Windows Server 2008 SP2。
主要危害:
  • 命令执行:通过远程代码执行,造成服务器的沦陷和信息泄露。
  • 数据丢失:存在利用此漏洞进行传播的蠕虫,如WannaCry,成功感染后会加密文件并造成信息泄露。

阿里云云防火墙如何防御系统入侵

阿里云安全在系统漏洞攻防实战中进行了长期的跟踪和研究,积累了大量的攻防经验,并转化为防御规则,有力提升了云防火墙对系统安全的防御能力。

云防火墙对系统面临的所有风险进行多点防御,保障系统的正常运行。
  • 暴力破解:云防火墙提供威胁情报入侵防御,可感知全网攻击态势,提前阻断扫描和入侵行为。
  • 系统漏洞:云防火墙提供系统漏洞入侵防御,对操作系统的高危漏洞进行重点防御。
  • 其他攻击:云防火墙提供基础规则防御,对其他类型系统攻击,如Shell反弹和系统文件泄露等提供检测和实时阻断。

操作步骤

  1. 登录云防火墙控制台
  2. 在左侧导航栏单击入侵防御 > 入侵防御开关
  3. 入侵防御开关页面的威胁引擎运行模式区域选择拦截模式
  4. 入侵防御开关页面的基础防御区域中单击开启基础规则
  5. 入侵防御开关页面的虚拟补丁区域中单击开启补丁