高防服务器

　　巨牛科技在同时执行linux和windows的云服务器上发现了一种新的apt恶意软件：cloud snooper，它可以在本地和云服务器中规避传统的防火墙安全性技术.

　　一、cloud snooper绕过传统防火墙

　　为了逃避防火墙而开展的网络流量攻击隧道建设并不是什么新鲜事，但是cloud snooper的突出特点是恶意软件能够根据复杂的请求伪造来逃避传统的防火墙.使用本地信息包重组将流量从已知服务端口(tcp 80/443)重定向到命令并控制客户端的服务端口.这不是经常能看到的.使用请求标头中的源端口来触发远程访问工具箱客户端中的特定预建实际操作也是如此.

　　2、windows/linux均难以幸免

　　cloud snooper apt是专门为在大多数公共云服务器所代表的混合os环境中蓬勃发展而编写的，这使任何使用云服务器的公司在线业务服务都不安全性.该恶意软件是多平台的，它根据在暴露的ssh端口上似乎是字典流量攻击而设法渗透到linux系统.与典型的恶意软件行为相比，这是一个明显的变化.以往由于客户桌面的安装量很大，针对基于windows的数据处理机上开展流量攻击是常态.

　　这种策略上的转变表明，公共云服务器已经成为流量攻击者的狩猎场.在已知公共ip范围内的情况下，连续扫描整个公共云提供商的外部足迹并针对已知服务端口发起全自动流量攻击非常非常容易.

　　1、如何保护您的工作负荷免受cloud snooper apt流量攻击

　　那么，您如何才能保护自己免受cloud snooper和公共云服务器中类似恶意软件的侵害?请遵循大家的6点检查清单来防止这种的流量攻击种类.

　　1、在工作负荷上架设特定于服务器的反恶意软件

　　确保将端点安全性性措施架设在任何基于服务器的工作负荷上均等于确保其执行安全性.cloud snooper恶意软件很好地说明了为什么您需要对工作负荷本身具备可见性和强制性，例如，windows系统上基于驱动程序的利用就可以彻底未被发现.linux服务器也是如此.仅凭名称(“snd_floppy”)来确定内核模块是否为恶意是非常困难的，尤其是在规模上.为了定罪这些种类的恶意软件，分析其行为以确定其意图非常重要.

　　2、设定流程白名单

　　应该给出有关云服务器工作负荷的流程白名单.由于您确切知道需要特定实例执行的实际操作，因此将工作负荷完成任务所需的流程之外的任何流程都视为多余的，而在最坏的情况下则应视为可疑的.您可以选用服务器锁定之类的全自动化流程白名单解决方案，并阻止命令和控制客户端首先执行.

　　3、根据深度信息包检查拓展安全性组

　　传统的防火墙无法与当今的现代威胁环境相提并论.跟着越来越多的流量攻击者将其通信屏蔽装在tls中，几乎任何协议都可以根据几乎任何开放端口开展隧道传输，因此，首要道防线需要了解其中的实际内容.检测和阻止逃避流量攻击，例如cloud snooper所选用的流量攻击.

　　4、为远程访问启用安全性连接和较强的身份验证

　　基于密码的身份验证根本不足以保护根据ssh、rdp等协议的面向外部的远程访问.做法是，例如，仅根据vpn连接启用这些端口，就不要公开这些端口.但是，如果需要公开启用远程访问，请确保最少使用证书、令牌或两者的组合来设定某种形式的多因素身份验证.例如，使用内置的基于totp的多因素身份验证，并根据安全性的客户门户与html5无客户端vpn整合使用.

　　5、使用云安全性状态管理解决方案

　　您需要洞悉公共云服务器中资产的安全性状态.有着服务器和安全性组的清单有助于在流量攻击者利用潜在的不安全性配置之前发现它们.根据流量图直观地映射云服务器中的基础框架，发现服务器之间的流量异常并询问安全性组设定，以确定它们是否确实在帮助您保护自己的安全性.除此之外，了解您的环境的流量基准，如果流量攻击者突然在未使用的端口上引起活动(或在先前处于休眠或使用较少的端口上产生更多的流量)，可能导致潜在的安全性风险.

　　6、设定补丁程序管理

　　虽然尚不清楚cloud snooper如何渗透到原始服务器，但任何服务器(虚拟或物理)的常见做法是及时架设补丁程序和修补程序，以防止已知的漏洞受到攻击者利用.毕竟，预防比治疗更加重要.

　　但是，云服务器中的挑战是要按规模和按云数据处理的步伐来做到这一点，这就是为什么所有主要云供应商都有着某种形式的cmdb或补丁管理解决方案与他们的平台集成的的原因.