当前云防火墙提供了基础规则、虚拟补丁、威胁情报等覆盖ATT&CK各类功能,包括漏洞防护、暴力破解、挖矿检测、信息泄露等十余个大类,但是各个客户业务、场景、内部合规有所不同,不同场景下直接封禁相关功能有所不当,针对这一场景,云防火墙将该类型统一置为观察或默认禁用模式,用户可以依据自身业务场景、企业安全规则通过基础规则、虚拟补丁的自定义规则进行观察/拦截切换,以实现网络防御、业务监控、企业内部安全合规的最佳实践。以下是云防火墙梳理的企业常用场景。
| 初始访问 | 执行 | 持久化 | 防御规避 | 发现 | 命令与控制 |
|---|---|---|---|---|---|
| 供应链攻击(开启供应链下载或安装监控) | 计划任务或作业(禁止下载脚本执行主机相关操作) | 计划任务或作业(禁止下载脚本执行主机相关操作) | 文件或目录权限变更(禁止下载脚本执行主机相关操作) | 网络服务扫描(禁止非法工具安装) | 非应用层协议(禁止云上远程调试) |
| 无 | 无 | 无 | 隐藏文件(禁止下载脚本执行主机相关操作) | 安全软件发现(禁止安骑士等云上安全服务恶意卸载) | 代理(禁止代理行为) |
| 无 | 无 | 无 | 清除历史(禁止下载脚本执行主机相关操作) | 系统信息发现(禁止系统关键信息泄露) | 远程访问软件(禁止使用远控软件) |
| 无 | 无 | 无 | 文件删除(禁止下载脚本执行主机相关操作) | 无 | 协议隧道(禁止使用DNS over HTTPS) |
| 无 | 无 | 无 | 无 | 无 | Web服务(禁止访问公共服务) |