有備無(wú)患丨Cloudflare Gateway 防病毒功能全新上線！

近期，我們宣布從 Cloudflare 邊緣節(jié)點(diǎn)提供對(duì)惡意軟件檢測(cè)和預(yù)防的直接支持，為 Gateway 用戶提供對(duì)抗安全威脅的另一道防線。

Cloudflare Gateway 保護(hù)員工和數(shù)據(jù)免受來(lái)自互聯(lián)網(wǎng)的威脅，而且不會(huì)為了安全而犧牲性能。Gateway 客戶連接到 Cloudflare 位于世界各地的 200 多個(gè)數(shù)據(jù)中心之一，由我們的網(wǎng)絡(luò)應(yīng)用內(nèi)容和安全策略來(lái)保護(hù)其互聯(lián)網(wǎng)流量，無(wú)需將流量回傳到中央位置。

去年，Gateway 從一個(gè)安全 DNS 過(guò)濾解決方案 3 擴(kuò)展為一個(gè)完整的安全 Web 網(wǎng)關(guān)（SWG），也能保護(hù)每一個(gè)用戶的 HTTP 流量。這使管理員不僅能檢測(cè)和阻止 DNS 層的威脅，還能檢測(cè)和阻止惡意 URL 和有害的文件類型。此外，管理員現(xiàn)在可以一鍵創(chuàng)建高影響力、全公司范圍的策略來(lái)保護(hù)所有用戶，或者創(chuàng)建更精細(xì)的基于用戶身份的規(guī)則。

我們?cè)?Cloudflare Gateway 中推出了應(yīng)用程序策略，使管理員能容易阻止特定 Web 應(yīng)用程序。借助這一功能，管理員能阻止那些常用于分發(fā)惡意軟件的應(yīng)用程序，如云文件存儲(chǔ)。

這些 Gateway 功能實(shí)現(xiàn)了安全性的分層策略。借助 Gateway 的 DNS 過(guò)濾，客戶免受濫用 DNS 協(xié)議以便與某個(gè) C2 （命令與控制）服務(wù)器通訊、下載植入負(fù)載或滲漏企業(yè)數(shù)據(jù)的威脅。DNS 過(guò)濾適用于所有產(chǎn)生 DNS 查詢的應(yīng)用程序，而 HTTP 流量檢查則作為補(bǔ)充，深入到用戶瀏覽互聯(lián)網(wǎng)時(shí)可能遭遇到的威脅。

我們很高興能宣布另一層防御，在 Cloudflare Gateway 中增加防病毒保護(hù)。現(xiàn)在管理員能通過(guò) Cloudflare 的邊緣節(jié)點(diǎn)阻止惡意軟件和其他惡意文件，以免其下載到企業(yè)設(shè)備上。

從一開(kāi)始就保護(hù)公司的基礎(chǔ)設(shè)施和設(shè)備不受惡意軟件的感染是 IT 管理員的首要任務(wù)之一。惡意軟件可造成廣泛的破壞：經(jīng)營(yíng)活動(dòng)可能被勒索軟件破壞，敏感數(shù)據(jù)可能被間諜軟件竊取，本地 CPU 資源可能被加密劫持惡意軟件利用以獲取經(jīng)濟(jì)利益。

為了入侵網(wǎng)絡(luò)，惡意行為者通常試圖通過(guò)電子郵件發(fā)送的附件或惡意鏈接傳播惡意軟件。近期，為了避開(kāi)電子郵件安全檢查，攻擊者開(kāi)始利用其他通訊渠道（例如短信、語(yǔ)音和支持工單軟件）來(lái)傳播惡意軟件。

惡意軟件的破壞性影響，加上潛在入侵的龐大攻擊面，使得惡意軟件預(yù)防成為安全團(tuán)隊(duì)最關(guān)心的問(wèn)題。

沒(méi)有任何一種工具或方法能提供完美的安全，因此要采取分層防御。并非所有威脅都是已知的，因此在用戶連接到含有潛在惡意內(nèi)容的網(wǎng)站后，管理員就需要借助額外的檢查工具。

高度復(fù)雜的威脅可能成功入侵了用戶的網(wǎng)絡(luò)，這時(shí)安全團(tuán)隊(duì)的主要任務(wù)是快速確定攻擊范圍。在這些最壞的情況下，用戶訪問(wèn)了一個(gè)被認(rèn)定為惡意的域、網(wǎng)站或文件，對(duì)安全團(tuán)隊(duì)而言，最后一道防線就是清楚了解針對(duì)其組織的攻擊來(lái)自何處以及什么資源受到影響。

現(xiàn)在，借助 Cloudflare Gateway，您可以增強(qiáng)您的端點(diǎn)保護(hù)并防止惡意文件下載到員工的設(shè)備。在來(lái)自互聯(lián)網(wǎng)的文件通過(guò)最接近的 Cloudflare 邊緣數(shù)據(jù)中心時(shí)，Gateway 將對(duì)其進(jìn)行掃描。Cloudflare 為客戶提供的這病毒掃描防御，如同 DNS 和 HTTP 流量過(guò)濾，管理員不必購(gòu)買額外的防病毒許可證，也不用考慮更新病毒定義。

當(dāng)用戶發(fā)起下載，文件在 Cloudflare 邊緣通過(guò) Gateway 時(shí)，這個(gè)文件會(huì)被發(fā)送至惡意軟件掃描引擎。這個(gè)引擎包含了惡意軟件樣本定義并每日更新。當(dāng) Gateway 掃描某個(gè)文件并發(fā)現(xiàn)存在惡意軟件時(shí)，其將通過(guò)重置連接來(lái)阻止文件傳輸，結(jié)果是用戶瀏覽器中會(huì)顯示下載錯(cuò)誤。Gateway 也會(huì)記錄文件的下載 URL，文件的 SHA-256 哈希，以及該文件因存在惡意軟件而被阻止的日志。

一種常見(jiàn)的安全方法是“假設(shè)入侵”。安全團(tuán)隊(duì)假設(shè)承認(rèn)并非所有威脅都是事先已知的，因此需要對(duì)快速響應(yīng)威脅的能力進(jìn)行優(yōu)化。借助 Gateway，管理員可以利用 Gateway 的集中日志記錄來(lái)全面了解威脅對(duì)其組織的影響，作為安全事件響應(yīng)的一部分，為威脅補(bǔ)救提供清晰的步驟。

在使用“假設(shè)入侵”方法時(shí)，安全團(tuán)隊(duì)依賴于從所有可用的攻擊相關(guān)信息中獲取可據(jù)以行動(dòng)的洞察。一次較復(fù)雜的攻擊可能會(huì)以下方式展開(kāi)：

• 在通過(guò)各種方式的嘗試入侵某個(gè)用戶的系統(tǒng)后（導(dǎo)致“假設(shè)入侵”方法），一個(gè) 0 階段植入工具（或 Dropper）放置于被入侵的設(shè)備上。

• 這個(gè)文件可能是完整的，也可能是某個(gè)大型植入工具的一部分，并向一個(gè)域發(fā)送 DNS 查詢——威脅研究機(jī)構(gòu)此前并不知道該域與攻擊行動(dòng)的 C2 相關(guān)。

• 對(duì) C2 服務(wù)器查詢的響應(yīng)包含了指示植入工具可在何處下載該植入工具的更多組件的信息。

• 植入工具根據(jù) DNS 查詢結(jié)果連接到另一個(gè)域（威脅研究機(jī)構(gòu)也未知其為惡意），以下載植入工具的額外組件。

• 完成構(gòu)建的植入工具執(zhí)行另一 C2 服務(wù)器分配的任意數(shù)量任務(wù)。其中包括竊取本地文件、在網(wǎng)絡(luò)中橫向移動(dòng)、加密本地機(jī)器上的所有文件，甚至使用本地 CPU 來(lái)挖掘加密貨幣。

Cloudflare Gateway 并非簡(jiǎn)單地監(jiān)測(cè)和阻止對(duì)未知與 C2、DNS 隧道通訊相關(guān)或由某個(gè)域名生成算法（DGA）創(chuàng)建的域的查詢。Gateway 使用啟發(fā)式威脅研究方法來(lái)識(shí)別由 DGA 為上述攻擊目的而生成的查詢，從組織的日志數(shù)據(jù)中檢測(cè)這些之前未知的威脅，并在安全管理員需要手動(dòng)干預(yù)之前主動(dòng)予以阻止。

威脅研究正在不斷發(fā)展。Cloudflare Gateway 降低了 IT 管理員跟上安全威脅步伐的負(fù)擔(dān)，提供源自 Cloudflare 網(wǎng)絡(luò)的洞察來(lái)保護(hù)位于任何地方的大大小小的組織。

我們的目標(biāo)是向各種規(guī)模的組織提供復(fù)雜但易于部署的安全能力，以便組織能專注于業(yè)務(wù)本身發(fā)展。我們很高興能繼續(xù)擴(kuò)展 Gateway 的能力來(lái)保護(hù)用戶及其數(shù)據(jù)。DNS 隧道通訊和 DGA 檢測(cè)包含于 Gateway DNS 過(guò)濾中，對(duì) 50 用戶以上團(tuán)隊(duì)免費(fèi)提供。Cloudflare 邊緣惡意軟件內(nèi)聯(lián)檢測(cè)將包含于 Teams Standard 和 Teams Enterprise 計(jì)劃中。