1月10日,為有效防范和處置虛擬貨幣挖礦活動帶來的風(fēng)險隱患,進(jìn)一步實現(xiàn)我國碳達(dá)峰碳中和的高質(zhì)量發(fā)展目標(biāo),國家發(fā)改委發(fā)布《國家發(fā)展改革委關(guān)于修改<產(chǎn)業(yè)結(jié)構(gòu)調(diào)整指導(dǎo)目錄(2019年本)>的決定》,重點提及虛擬貨幣挖礦的全鏈條治理工作。該決定明確指出發(fā)改委將以產(chǎn)業(yè)式集中式“挖礦”、國有單位涉及“挖礦”和比特幣“挖礦”這三個方面為重點開展全面整治。長揚(yáng)科技快速響應(yīng),緊跟國家政策,針對大中型工業(yè)企業(yè)及集團(tuán)客戶應(yīng)對挖礦行為預(yù)警難,定位難,防控難等特點,發(fā)布“挖礦”治理“三位一體”解決方案。
1“挖礦”背景及風(fēng)險分析
據(jù)劍橋大學(xué)替代金融研究中心的數(shù)據(jù),截至2021年5月17日,全球僅比特幣"挖礦"的年耗電量大約是1348.9億度。
整個虛擬貨幣挖礦帶來的耗電量正在爆炸式增長。此前,這些"礦場"大多集中于我國,對能源供給帶來巨大壓力。這與我國力爭在2030年前實現(xiàn)碳達(dá)峰、2060年前實現(xiàn)碳中和這一重大戰(zhàn)略決策相悖。
同時,這些“挖礦”木馬及病毒攻擊極易造成內(nèi)網(wǎng)資產(chǎn)出現(xiàn)故障,如網(wǎng)絡(luò)阻塞、藍(lán)屏宕機(jī)等現(xiàn)象,直接威脅工控網(wǎng)絡(luò)生產(chǎn)環(huán)境穩(wěn)定運行。同時挖礦木馬的遠(yuǎn)程控制和竊密功能對外部攻擊者敞開了通道,極有可能被后續(xù)網(wǎng)絡(luò)攻擊利用,執(zhí)行勒索、定向破壞等惡意目的,同時持續(xù)產(chǎn)生海量告警事件對其他網(wǎng)絡(luò)攻擊活動形成一定掩護(hù)作用,容易干擾其他威脅分析研判,因此急需快速治理集團(tuán)信息與工控網(wǎng)絡(luò)中活動的挖礦病毒。
虛擬貨幣“挖礦”能源消耗和碳排放量大,對產(chǎn)業(yè)發(fā)展、科技進(jìn)步不具有積極的帶動作用,加之虛擬貨幣生產(chǎn)、交易環(huán)節(jié)衍生的風(fēng)險越發(fā)突出,其盲目無序發(fā)展對推動經(jīng)濟(jì)社會高質(zhì)量發(fā)展和節(jié)能減排造成嚴(yán)重不利影響。整治虛擬貨幣“挖礦”活動對促進(jìn)我國產(chǎn)業(yè)結(jié)構(gòu)優(yōu)化、推動節(jié)能減排、如期實現(xiàn)“雙碳”目標(biāo)具有重要意義。
2“三位一體”解決方案
2.1 企業(yè)防護(hù)
隨著社會和經(jīng)濟(jì)的高度信息化、網(wǎng)絡(luò)化,現(xiàn)代企業(yè)、機(jī)關(guān)單位的發(fā)展已經(jīng)和網(wǎng)絡(luò)密不可分,與此同時網(wǎng)絡(luò)信息安全問題日益突出,已成為當(dāng)前網(wǎng)絡(luò)安全管理的熱點和難點問題。近年來網(wǎng)絡(luò)安全事故不斷上升,通過分析發(fā)現(xiàn)大部分原因都是企業(yè)自身安全防護(hù)不到位、網(wǎng)絡(luò)安全概念認(rèn)知不足而導(dǎo)致的。在如今的互聯(lián)網(wǎng)時代,保障網(wǎng)絡(luò)安全是企業(yè)發(fā)展的重中之重。
為了提升客戶網(wǎng)絡(luò)安全防護(hù)能力,針對企業(yè)自身的“挖礦”治理,長揚(yáng)科技安全團(tuán)隊已對多種主流的挖礦病毒及木馬進(jìn)行采樣分析,并對其工作原理進(jìn)行了深入研究,針對“挖礦”病毒及木馬提出信息網(wǎng)+工控網(wǎng)“全面檢測、閉環(huán)處置、立體防護(hù)”三位一體的解決方案。
針對“挖礦木馬”的活動特性,從木馬遠(yuǎn)程控制服務(wù)器、協(xié)同挖礦的“礦池”、挖礦工具“礦機(jī)”流量等特征進(jìn)行精準(zhǔn)識別,形成已感染挖礦木馬處于失陷狀態(tài)的資產(chǎn)列表,逐一進(jìn)行通報處置跟蹤,并利用平臺流量歷史記錄對挖礦木馬的異常行為進(jìn)行追溯分析、處置,提升全網(wǎng)立體防護(hù)能力。
2.1.1 IT+OT網(wǎng)全面檢測
(一) 主機(jī)(探針+主機(jī)衛(wèi)士)+智能采集器精確定位
通過部署長揚(yáng)科技主機(jī)(探針+主機(jī)衛(wèi)士)+智能采集器結(jié)合AI智能識別定位技術(shù),對于存在惡意軟件自動化傳播過程中常見的端口掃描、漏洞利用、暴力破解等異常網(wǎng)絡(luò)行為,信息網(wǎng)及工控資產(chǎn) CPU 等資源占用過高等異常現(xiàn)象進(jìn)行排查,同時針對狀態(tài)可疑的資產(chǎn)進(jìn)行協(xié)作分析,一旦發(fā)現(xiàn)包括挖礦木馬及病毒在內(nèi)的惡意軟件就可以提取其特征值形成精確檢測規(guī)則,持續(xù)補(bǔ)充挖礦治理專項工作的安全監(jiān)測能力,快速精準(zhǔn)定位挖礦主機(jī)及病毒。
(二) 防火墻+IPS/IDS特征攔截潛在的挖礦外聯(lián)行為
通過部署長揚(yáng)科技防火墻,結(jié)合IPS/IDS特征庫識別技術(shù),快速攔截通過釣魚郵件、惡意站點、軟件捆綁下載等方式誘導(dǎo)用戶點擊其惡意腳本程序,不僅能檢測出不可讀的隨機(jī)字符構(gòu)成的域名,還能檢測出使用單詞拼接方式仿造正常域名的惡意域名,快速識別異常外聯(lián)流量,定位組織網(wǎng)絡(luò)中的挖礦主機(jī)。
2.1.2 IT+OT網(wǎng)閉環(huán)處置
防火墻+IPS/IDS+主機(jī)衛(wèi)士閉環(huán)處置“挖礦木馬/病毒”
部署長揚(yáng)科技防火墻+IPS/IDS+主機(jī)衛(wèi)士,通過先期安全團(tuán)隊收集和集成一些已知威脅情報信息,相較于公開威脅情報還通過平臺運營中安全告警事件處置中的樣本分析建立適應(yīng)網(wǎng)絡(luò)環(huán)境和惡意軟件流行家族的專有檢測能力。通過“從失陷資產(chǎn)找異常,從異常找失陷資產(chǎn)”不斷互補(bǔ)實現(xiàn)挖礦活動檢測能力的持續(xù)提升,最終標(biāo)記出全網(wǎng)絡(luò)環(huán)境內(nèi)與挖礦活動相關(guān)的失陷資產(chǎn),通過主機(jī)衛(wèi)士白名單及挖礦木馬/病毒處置功能推動處置閉環(huán)。
2.1.3 IT+OT網(wǎng)立體防護(hù)
長揚(yáng)科技安全運維團(tuán)隊針對“挖礦”治理提出IT+OT網(wǎng)立體防護(hù)解決方案,其中包括安全運維、應(yīng)急處置及重大活動安全保障三項措施。依據(jù)現(xiàn)有已建設(shè)完成的安全產(chǎn)品,結(jié)合我司的態(tài)勢感知工具,將信息網(wǎng)和工控網(wǎng)各安全產(chǎn)品及防護(hù)設(shè)備有序的結(jié)合起來,數(shù)據(jù)匯總分析,日志泛化處理,態(tài)勢感知預(yù)測。檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各種信息資產(chǎn)所存在的安全隱患和漏洞及資產(chǎn)安全態(tài)勢。
2.2 垂直監(jiān)管
針對垂直管理組織架構(gòu)的集團(tuán)用戶,下屬企業(yè)及機(jī)關(guān)單位自身網(wǎng)絡(luò)安全防護(hù)不到位、網(wǎng)絡(luò)安全概念認(rèn)知不足的情況時有發(fā)生。按照國家或省級監(jiān)管單位對下屬企業(yè)“挖礦”管理要求、認(rèn)定規(guī)則及監(jiān)測通報機(jī)制,需要進(jìn)一步提高總部監(jiān)管單位對下屬企業(yè)機(jī)關(guān)“挖礦”及安全威脅態(tài)勢的感知能力。長揚(yáng)科技安全態(tài)勢感知團(tuán)隊提出針對“挖礦”治理的垂直監(jiān)管解決方案:
總部機(jī)構(gòu)部署長揚(yáng)科技態(tài)勢感知平臺,同下屬機(jī)關(guān)單位的態(tài)勢感知平臺分布式對接,使其信息網(wǎng)生產(chǎn)網(wǎng)數(shù)據(jù)信息同總部實時同步,以“挖礦”流量數(shù)據(jù)、網(wǎng)絡(luò)安全數(shù)據(jù)、新基建關(guān)鍵基礎(chǔ)設(shè)施行業(yè)數(shù)據(jù)為基礎(chǔ),以資產(chǎn)指紋、漏洞信息、威脅情報、網(wǎng)絡(luò)模型等海量數(shù)據(jù)為資源支撐,運用大數(shù)據(jù)、人工智能及云技術(shù),幫助中心機(jī)構(gòu)精準(zhǔn)識別網(wǎng)絡(luò)威脅,提升風(fēng)險評估、態(tài)勢感知、監(jiān)測預(yù)警及智能運營一體化的能力。
3 成果分享
3.1 精準(zhǔn)定位全面檢測,精確攔截閉環(huán)處置
長揚(yáng)科技態(tài)勢感知團(tuán)隊通過分布式部署的主機(jī)探針+采集器手段,快速定位發(fā)現(xiàn)網(wǎng)絡(luò)中不同區(qū)域不同IP段和不同中毒癥狀的IP。
3.2 針對非法外聯(lián)的閉環(huán)處置
通過集成多種攔截策略、特征庫及威脅情報反饋的防火墻、IPS/IDS設(shè)備,針對內(nèi)部網(wǎng)絡(luò)終端或者服務(wù)器的外聯(lián)行為進(jìn)行識別和攔截,設(shè)定允許終端或者服務(wù)器外聯(lián)的地址、外聯(lián)地址的服務(wù)及端口來定義正常外聯(lián)行為,定義的正常外聯(lián)行為之外的所有外聯(lián)行為全部作為非法外聯(lián)。
防火墻功能截圖
4 客戶價值
長揚(yáng)科技安全團(tuán)隊針對虛擬貨幣“挖礦”活動提出全面檢測、閉環(huán)處置和立體防護(hù)的三位一體解決方案,為用戶提供信息網(wǎng)+工控網(wǎng)的全網(wǎng)精準(zhǔn)定位的有效檢測方式,通過安全防護(hù)設(shè)備快速響應(yīng)并處置網(wǎng)絡(luò)中的潛在威脅,配合具備豐富安全保障經(jīng)驗的運維團(tuán)隊提供724小時的監(jiān)測預(yù)警,為客戶的網(wǎng)絡(luò)安全保駕護(hù)航,做到真正意義上的立體防護(hù)。
