“挖礦”行為的危害無(wú)需多言。自去年以來(lái),我國(guó)虛擬貨幣監(jiān)管政策持續(xù)加碼,清退“挖礦”活動(dòng)與禁止相關(guān)業(yè)務(wù)活動(dòng)雙管齊下,全力打擊治理違法“挖礦”行為。就如上面這個(gè)通告中說(shuō)明的一樣,雖然運(yùn)營(yíng)商、服務(wù)商已經(jīng)全面禁止云主機(jī)挖礦,卻仍有不少“礦工”會(huì)千方百計(jì),發(fā)動(dòng)無(wú)差別攻擊去尋找“礦機(jī)”,而疏于防范的云主機(jī)便是他們的獵物之一。
淪為“礦機(jī)”的云主機(jī),危害有大?
首先,“挖礦”需要一個(gè)龐大的算力系統(tǒng),會(huì)完全吞噬用戶的云算力,云主機(jī)CPU飚滿,直接影響企業(yè)的正常業(yè)務(wù)往來(lái),更會(huì)付出額外的電力成本和運(yùn)維成本。
其次,部分挖礦木馬還具備蠕蟲(chóng)化的特點(diǎn),在主機(jī)被成功入侵之后,挖礦木馬還會(huì)向內(nèi)網(wǎng)滲透,并在被入侵的主機(jī)上持久化駐留以獲取最大收益。
圖:典型的挖礦木馬攻擊場(chǎng)景、步驟和通信過(guò)程
最后,一些挖礦的主機(jī)還可能會(huì)被植入勒索病毒,攜帶APT攻擊代碼等等,導(dǎo)致組織重要數(shù)據(jù)泄露,或者黑客利用已經(jīng)控制的機(jī)器,作為繼續(xù)對(duì)內(nèi)網(wǎng)滲透或攻擊其他目標(biāo)的跳板,導(dǎo)致更嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件發(fā)生。
云主機(jī)防挖礦“三步半”
“挖礦”木馬已是繼勒索病毒后網(wǎng)絡(luò)犯罪分子牟利的又一重磅利器,而擁有龐大數(shù)量級(jí)的云數(shù)據(jù)中心正成為“挖礦”木馬重要攻擊目標(biāo)。對(duì)此,亞信安全建議用戶通過(guò)“事前早發(fā)現(xiàn)、事中防得住、事后能跟蹤”的三條原則來(lái)建立防護(hù)體系,為云主機(jī)提供一體化的安全防護(hù)平臺(tái),實(shí)現(xiàn)挖礦攻擊的全面治理。
?半步:“無(wú)代理”做好準(zhǔn)備
為什么要先說(shuō)這“半步”呢?當(dāng)原有服務(wù)器設(shè)備在遷移至云資源池后,其上部署的傳統(tǒng)防病毒方案(需要安裝代理客戶端)將產(chǎn)生“防毒掃描風(fēng)暴(AV Storms)”。這是因?yàn)椋瑐鹘y(tǒng)防病毒方案與虛擬化底層兼容性極低,當(dāng)云主機(jī)均采用這些技術(shù)時(shí),一旦采用全盤掃描病毒或集中升級(jí)代碼時(shí),就會(huì)造成搶占CPU、內(nèi)存、存儲(chǔ)I/O和網(wǎng)絡(luò)擁堵的現(xiàn)象,直接造成業(yè)務(wù)訪問(wèn)延遲或超時(shí)。因此,在云主機(jī)防止挖礦之前,先要選對(duì)平臺(tái),利用“無(wú)代理”等新技術(shù),從下至上形成底層防護(hù)。
?第一步:事前早發(fā)現(xiàn)
無(wú)數(shù)臺(tái)云主機(jī)構(gòu)成了企業(yè)的云算力,隨著數(shù)字化業(yè)務(wù)持續(xù)增長(zhǎng),云主機(jī)可能就會(huì)出現(xiàn)失控逃逸的情況,存在眾多“灰色”資產(chǎn),造成了嚴(yán)重的安全隱患。因此,對(duì)于挖礦威脅的防御,第一步就是要構(gòu)建資產(chǎn)指紋庫(kù),避免資產(chǎn)死角,全面摸清家底。其次,云數(shù)據(jù)中心離不開(kāi)強(qiáng)大的漏洞風(fēng)險(xiǎn)檢測(cè)及修復(fù)能力,需能夠?qū)β┒达L(fēng)險(xiǎn)進(jìn)行精準(zhǔn)發(fā)現(xiàn)并得到有效修復(fù)。最后,是云主機(jī)要形成安全策略的一致性,這就離不開(kāi)強(qiáng)大的基線合規(guī)性檢查能力,不留死角,防止風(fēng)險(xiǎn)的產(chǎn)生。
?第二步:事中防得住
面對(duì)挖礦木馬和不法分子的攻擊,應(yīng)實(shí)現(xiàn)基于攻擊路徑的實(shí)時(shí)檢測(cè)與分析能力,及時(shí)發(fā)現(xiàn)失陷主機(jī),提供虛擬補(bǔ)丁等響應(yīng)措施,有效阻止黑客進(jìn)一步入侵。此外,還應(yīng)對(duì)主機(jī)網(wǎng)絡(luò)進(jìn)行快速隔離,避免“挖礦”病毒橫向傳播,并且同步通過(guò)基因識(shí)別、虛擬沙盒等技術(shù)精準(zhǔn)識(shí)別“挖礦”病毒,提供多樣化響應(yīng)措施。
?第三步:事后能跟蹤
對(duì)于已發(fā)生的挖礦病毒事件,需要擁有“高清”的威脅檢測(cè)及響應(yīng)產(chǎn)品,通過(guò)EDR對(duì)操作系統(tǒng)中的文件、進(jìn)程、注冊(cè)表和網(wǎng)絡(luò)連接的海量信息中攻擊過(guò)程進(jìn)行可視化呈現(xiàn),找到攻擊發(fā)生的根本原因、還原復(fù)雜的攻擊技術(shù)、并有針對(duì)性地進(jìn)行響應(yīng)和處置。
XDR挖礦治理有道,云主機(jī)更有“特殊”關(guān)照
針對(duì)挖礦治理,亞信安全提供了XDR整體方案,不僅可以幫助用戶更早的發(fā)現(xiàn)挖礦木馬威脅、定位高危資產(chǎn),并且通過(guò)根因和范圍分析,確定是存在挖礦行為,攻擊是怎么發(fā)生,從而確保終端和云端不留死角。XDR整體方案中,共設(shè)立了14個(gè)關(guān)鍵監(jiān)測(cè)點(diǎn),通過(guò)信桅深度威脅發(fā)現(xiàn)設(shè)備(TDA)、信艙云主機(jī)安全(DeepSecurity)、信端病毒防護(hù)(O?ceScan)、信端終端檢測(cè)與響應(yīng)系統(tǒng)(EDR)、網(wǎng)絡(luò)檢測(cè)與響應(yīng)(TDA+Spiderflow)、信舷防毒墻(AISEdge)、調(diào)查分析威脅狩獵服務(wù)等,多維度發(fā)現(xiàn)、檢測(cè)、響應(yīng)、查殺、恢復(fù)和預(yù)防挖礦病毒。
特別是針對(duì)云主機(jī)一體化安全防護(hù),亞信安全提供了能夠全面覆蓋云工作負(fù)載保護(hù)平臺(tái)(Cloud Workload Protection Platform,CWPP)的信艙云主機(jī)安全(DeepSecurity)產(chǎn)品,可通過(guò)資產(chǎn)管理、安全基線、虛擬補(bǔ)丁、日志審核、漏洞風(fēng)險(xiǎn)管理和主機(jī)資源監(jiān)控等手段,助力客戶建立面向物理機(jī)、虛擬機(jī)、容器多種云工作負(fù)載的防護(hù)體系,從而滿足“事前、事中、事后”的全面覆蓋。
為云算力構(gòu)筑起第二道防火墻
當(dāng)前,云安全問(wèn)題已成為云計(jì)算產(chǎn)業(yè)發(fā)展痛點(diǎn),云計(jì)算產(chǎn)業(yè)規(guī)模的擴(kuò)大,更需要利用安全技術(shù)的突破與創(chuàng)新,解決和改善云安全問(wèn)題。其中,云主機(jī)安全更是云安全系統(tǒng)核心構(gòu)成,也稱為第二道防火墻。為此,亞信安全將協(xié)助各個(gè)行業(yè)用戶筑牢這道墻,確保它不被“挖”穿,共同贏得云算力的保衛(wèi)戰(zhàn)!
