云安全中心、安骑士等主机侧安全服务软件通常用于监控主机侧安全情况,用于病毒查杀、脚本查杀、恶意命令执行等检测,这些安全服务软件可能被恶意卸载,导致安全服务无法对资产提供防护。

恶意卸载场景

  • 内部员工违规操作

    内部员工如果想进行违规操作,通常会选择先将主机侧安全软件卸载,避免违规操作被主机侧安全服务软件检测到而告警。

  • 黑客攻击

    黑客入侵云上系统后,为了更好的在主机上实施攻击行为而不引起企业安全工程师注意,卸载安全服务软件可以避免安全工程师接到失陷感知告警。

  • 蠕虫、木马传播

    蠕虫、木马通过下载恶意软件达到后门维持或数据窃取目的,卸载安全服务软件可以避免失陷感知告警。

云防火墙操作

当前云防火墙对安骑士卸载设置了观察模式,如您需要对云上环境禁止网络侧卸载,您可以登录云防火墙控制台,打开攻击防护 > 防护配置页面,在基础防御-自定义选择页面中,将规则部分或全部开启为拦截模式,能有效阻止或缓解上述危害。

0x22