有備無患丨Cloudflare Gateway 防病毒功能全新上線！

近期，我們宣布從 Cloudflare 邊緣節(jié)點提供對惡意軟件檢測和預防的直接支持，為 Gateway 用戶提供對抗安全威脅的另一道防線。

Cloudflare Gateway 保護員工和數據免受來自互聯(lián)網的威脅，而且不會為了安全而犧牲性能。Gateway 客戶連接到 Cloudflare 位于世界各地的 200 多個數據中心之一，由我們的網絡應用內容和安全策略來保護其互聯(lián)網流量，無需將流量回傳到中央位置。

去年，Gateway 從一個安全 DNS 過濾解決方案 3 擴展為一個完整的安全 Web 網關（SWG），也能保護每一個用戶的 HTTP 流量。這使管理員不僅能檢測和阻止 DNS 層的威脅，還能檢測和阻止惡意 URL 和有害的文件類型。此外，管理員現(xiàn)在可以一鍵創(chuàng)建高影響力、全公司范圍的策略來保護所有用戶，或者創(chuàng)建更精細的基于用戶身份的規(guī)則。

我們在 Cloudflare Gateway 中推出了應用程序策略，使管理員能容易阻止特定 Web 應用程序。借助這一功能，管理員能阻止那些常用于分發(fā)惡意軟件的應用程序，如云文件存儲。

這些 Gateway 功能實現(xiàn)了安全性的分層策略。借助 Gateway 的 DNS 過濾，客戶免受濫用 DNS 協(xié)議以便與某個 C2 （命令與控制）服務器通訊、下載植入負載或滲漏企業(yè)數據的威脅。DNS 過濾適用于所有產生 DNS 查詢的應用程序，而 HTTP 流量檢查則作為補充，深入到用戶瀏覽互聯(lián)網時可能遭遇到的威脅。

我們很高興能宣布另一層防御，在 Cloudflare Gateway 中增加防病毒保護?，F(xiàn)在管理員能通過 Cloudflare 的邊緣節(jié)點阻止惡意軟件和其他惡意文件，以免其下載到企業(yè)設備上。

從一開始就保護公司的基礎設施和設備不受惡意軟件的感染是 IT 管理員的首要任務之一。惡意軟件可造成廣泛的破壞：經營活動可能被勒索軟件破壞，敏感數據可能被間諜軟件竊取，本地 CPU 資源可能被加密劫持惡意軟件利用以獲取經濟利益。

為了入侵網絡，惡意行為者通常試圖通過電子郵件發(fā)送的附件或惡意鏈接傳播惡意軟件。近期，為了避開電子郵件安全檢查，攻擊者開始利用其他通訊渠道（例如短信、語音和支持工單軟件）來傳播惡意軟件。

惡意軟件的破壞性影響，加上潛在入侵的龐大攻擊面，使得惡意軟件預防成為安全團隊最關心的問題。

沒有任何一種工具或方法能提供完美的安全，因此要采取分層防御。并非所有威脅都是已知的，因此在用戶連接到含有潛在惡意內容的網站后，管理員就需要借助額外的檢查工具。

高度復雜的威脅可能成功入侵了用戶的網絡，這時安全團隊的主要任務是快速確定攻擊范圍。在這些最壞的情況下，用戶訪問了一個被認定為惡意的域、網站或文件，對安全團隊而言，最后一道防線就是清楚了解針對其組織的攻擊來自何處以及什么資源受到影響。

現(xiàn)在，借助 Cloudflare Gateway，您可以增強您的端點保護并防止惡意文件下載到員工的設備。在來自互聯(lián)網的文件通過最接近的 Cloudflare 邊緣數據中心時，Gateway 將對其進行掃描。Cloudflare 為客戶提供的這病毒掃描防御，如同 DNS 和 HTTP 流量過濾，管理員不必購買額外的防病毒許可證，也不用考慮更新病毒定義。

當用戶發(fā)起下載，文件在 Cloudflare 邊緣通過 Gateway 時，這個文件會被發(fā)送至惡意軟件掃描引擎。這個引擎包含了惡意軟件樣本定義并每日更新。當 Gateway 掃描某個文件并發(fā)現(xiàn)存在惡意軟件時，其將通過重置連接來阻止文件傳輸，結果是用戶瀏覽器中會顯示下載錯誤。Gateway 也會記錄文件的下載 URL，文件的 SHA-256 哈希，以及該文件因存在惡意軟件而被阻止的日志。

一種常見的安全方法是“假設入侵”。安全團隊假設承認并非所有威脅都是事先已知的，因此需要對快速響應威脅的能力進行優(yōu)化。借助 Gateway，管理員可以利用 Gateway 的集中日志記錄來全面了解威脅對其組織的影響，作為安全事件響應的一部分，為威脅補救提供清晰的步驟。

在使用“假設入侵”方法時，安全團隊依賴于從所有可用的攻擊相關信息中獲取可據以行動的洞察。一次較復雜的攻擊可能會以下方式展開：

• 在通過各種方式的嘗試入侵某個用戶的系統(tǒng)后（導致“假設入侵”方法），一個 0 階段植入工具（或 Dropper）放置于被入侵的設備上。

• 這個文件可能是完整的，也可能是某個大型植入工具的一部分，并向一個域發(fā)送 DNS 查詢——威脅研究機構此前并不知道該域與攻擊行動的 C2 相關。

• 對 C2 服務器查詢的響應包含了指示植入工具可在何處下載該植入工具的更多組件的信息。

• 植入工具根據 DNS 查詢結果連接到另一個域（威脅研究機構也未知其為惡意），以下載植入工具的額外組件。

• 完成構建的植入工具執(zhí)行另一 C2 服務器分配的任意數量任務。其中包括竊取本地文件、在網絡中橫向移動、加密本地機器上的所有文件，甚至使用本地 CPU 來挖掘加密貨幣。

Cloudflare Gateway 并非簡單地監(jiān)測和阻止對未知與 C2、DNS 隧道通訊相關或由某個域名生成算法（DGA）創(chuàng)建的域的查詢。Gateway 使用啟發(fā)式威脅研究方法來識別由 DGA 為上述攻擊目的而生成的查詢，從組織的日志數據中檢測這些之前未知的威脅，并在安全管理員需要手動干預之前主動予以阻止。

威脅研究正在不斷發(fā)展。Cloudflare Gateway 降低了 IT 管理員跟上安全威脅步伐的負擔，提供源自 Cloudflare 網絡的洞察來保護位于任何地方的大大小小的組織。

我們的目標是向各種規(guī)模的組織提供復雜但易于部署的安全能力，以便組織能專注于業(yè)務本身發(fā)展。我們很高興能繼續(xù)擴展 Gateway 的能力來保護用戶及其數據。DNS 隧道通訊和 DGA 檢測包含于 Gateway DNS 過濾中，對 50 用戶以上團隊免費提供。Cloudflare 邊緣惡意軟件內聯(lián)檢測將包含于 Teams Standard 和 Teams Enterprise 計劃中。