“一抓一个准” | 默安科技基于攻击欺骗的挖矿治理方案
2022-03-09
近年来,虚拟货币成为经济和金融界的热门话题,随之而来的虚拟货币“挖矿”活动也愈发狂热,对于广大政企用户来说,如果自家的门户网站被黑客劫持用于散播挖矿脚本,不仅会使自身信誉受损、客户口碑下降,还可能在舆论压力下给其品牌效应带来不可挽回的损失。
挖矿病毒是什么?为什么必须治理?——非法获利,国家整治
挖矿病毒科普
挖矿病毒作为一种勘探工具,被黑客们广泛利用来攻击并占用他人计算机的性能资源为自身挖矿,用所得的数字虚拟币谋取利益。
挖矿病毒的本质:病毒入侵、远程控制、僵尸网络。
出现这些特征,你可能正在遭遇恶意挖矿:
● CPU使用率高居不下
● 设备响应速度异常缓慢
● 设备过热,冷却风扇长期高度运转
监管单位全面整治“挖矿”活动
2021年9月,国家发改委等部门联合发布《关于整治虚拟货币“挖矿”活动的通知》要求全面梳理排查虚拟货币“挖矿”项目,严禁新增项目投资建设,加快存量项目有序退出。
同年11月,国家发改委组织召开虚拟货币“挖矿”治理专题视频会议,要求严查严处国有单位机房涉及的“挖矿”活动。
应对挖矿病毒的困境
1单点能力无法应对挖矿病毒分布式扩散
挖矿病毒在局域网内大量扩散,主机上安装的杀毒软件无法及时全部配置检测任务。
2杀毒软件无法处理未知的挖矿病毒变种
挖矿病毒变种繁多,杀毒软件依赖规则库,面对新型挖矿病毒无法识别,只能任由其持续占用主机资源、甚至对外扩散。
默安科技:基于攻击欺骗的挖矿治理——事前防御、事中重防、事后响应
# 治理思路
图 如何防御挖矿病毒的步步入侵
-事前:未雨绸缪,有备无患
方案
• IT资产指纹自动化梳理
• 互联网漏洞风险检测
• 互联网攻击欺骗隔离
事前阶段,方案采用巡哨资产风险检测管理系统通过对全网资产及其暴露面进行安全梳理、对挖矿病毒高危漏洞与风险进行及时修复与加固,建立进程信任策略、完善进程管控措施,防止挖矿等非法进程运行。
亮点
本阶段方案根据大部分企业当前的安全能力,结合攻击者常用的攻击流程,在企业的内网环境部署幻阵高级威胁检测系统及互联网出口部署刃甲网络攻击压制系统,构建基于攻击欺骗的入侵感知与攻击溯源体系,确保对攻击流量进行精准检测与分析,实现资产内主机主动或被动向外部主机发起攻击的威胁检测,以及资产外部对资产内部主机发起攻击的威胁检测。
图 提前布控互联网侧挖矿攻击欺骗
-事中:兵来将挡,水来土掩
方案
• 内网东西向攻击诱捕与处置
• 内网东西向攻击检测与实时处置
事中阶段,方案对挖矿病毒的传播感染重点防护,利用欺骗防御技术、恶意软件检测防护技术,精准检测安全事件,提供有效的实时处置能力,包括自动阻断、溯源定位等。
亮点
本阶段方案通过办公网业务模拟仿真,实现对挖矿病毒的混淆欺骗;通过办公网东西向流量诱捕,对病毒流量进行感知诱捕,进行事件回溯。同时,方案基于挖矿域名访问诱捕,第一时间发现感染病毒的主机;基于精准检测结果开展处置,定位内部感染源头机器,利用人工和主机安全防护工具实施病毒应急处置。
-事后:鞍不离马,甲不离身
方案
• 应急处理小组
• 应急处置规范
• 应急处置报告
事后阶段,方案通过建立完善的应急处置团队和应急处置规范流程,对病毒事件进行抑制、根除、溯源等,协助用户单位加固网络和快速恢复业务;通过安全服务团队帮助优化针对挖矿事件的安全加固与运营。
亮点
本阶段方案使安全事件的应对处置各个环节都有章可循,有效避免安全事件的扩大和升级,最大限度减少影响或损失,并在处置过程中助力用户进行业务恢复。
现场应急处置过后,默安科技应急处置团队将通过对病毒和事件全过程进行分析,针对事件提出整改加固建议,确保事件风险得到有效收敛。
休想让挖矿病毒动我的“奶酪”——这份方案,守护您的业务资源和系统数据
1保护业务资源,确保运行稳定
默安科技基于攻击欺骗的挖矿治理方案可确保业务系统运行稳定,防止业务资源长期被恶意挖矿行为占用而导致的业务运行资源不足、带宽受限、对外服务支持不及时等问题。
2保护核心系统及数据不受控制
挖矿病毒传播和恶意挖矿行为的存在其本质是一种入侵,是攻击者对系统的一种控制行为,治理挖矿病毒本质是保护核心系统及数据的安全。
3满足合规要求,避免涉入挖矿事件
在发改委等部门的多次发文和会议精神的要求下,产业式、国有单位保持系统不受“挖矿”活动的影响是合规要求之一。
4为防止其他病毒打下基础
挖矿病毒不论从传播、危害、治理思路等方面都具有相似性,默安科技基于攻击欺骗的挖矿治理方案可对后续治理其它病毒提供理论与实践基础。
关于默安
作为一家云计算时代的新兴网络安全公司,默安科技基于攻击欺骗的挖矿治理方案已为政府、金融、能源、运营商等多个领域的客户构建起有效的挖矿攻击防护网。未来,默安科技将继续匹配客户需求、钻研创新技术、积累实践经验,从攻击者角度帮助各行业客户实现业务与安全效益的最大化。
