基本概念介绍
横向扫描主要指的是黑客在利用某个漏洞获取网络访问权后,进行收集系统其他信息来实施精确的攻击行为。例如员工点击钓鱼邮件导致办公电脑被安装了远控木马,黑客利用员工电脑上VPN内网环境,进而对企业的内网进行横向扫描,扫描如果没有合适的预防措施,则可能导致黑客获取某个点的访问权后,扩大攻破其他点,造成影响面扩大。
功能说明
针对横向扫描的行为进行设定不同策略模版,如IP类横向渗透防护、域名类横向渗透防护,支持针对单用户账号,设备,相同公网IP进行不同协议、端口、地址的组合判断其频次,若高于异常则进行阻断或挑战认证。该功能是实时统计,达到阈值立即处置。
配置说明
该功能暂不支持客户自助配置,如需使用,请通过提交工单给天翼云客服,由其人工操作开启。提交工单时请附带如下信息:
| 参数 | 说明 |
|---|---|
| 处置粒度 | 支持根据设备,账号,公网IP三种类型作为处置粒度,会对所选粒度的访问行为进行统计和处置,其中设备是关联到账号的最小处置粒度 ,处置粒度选择为设备时只会对触发规则的账号当前登录设备进行处置,当处置粒度为账号时,在处置动作生效时期,该账号登录其他设备同样会被处置。 |
| 统计粒度 | 统计上方所选处置粒度在周期内对该统计粒度不同地址的请求次数,支持按照域名+端口或协议+IP+端口两种粒度。 |
| 统计周期 | 单位秒。 |
| 访问次数 | 单位次数。 |
| 处置时间 | 单位秒。 |
| 处置动作 | 监控:监控访问行为,不进行处置。 挑战认证:进行二次认证,目前仅支持短信形式。 访问阻断:将对访问进行阻断,直接阻断丢弃该访问,在用户浏览器将显示访问异常。 注销登录:将对该用户账号进行注销登录,用户将被强行退出零信任服务,在4小时内重新登录将会被注销。 |
