教育行業(yè)成“挖礦”木馬優(yōu)先攻擊對象
江蘇省通信管理局曾指出,從IP地址歸屬和性質(zhì)看,歸屬黨政機關(guān)、高校、企業(yè)的IP被入侵利用開(kāi)展虛擬貨幣“挖礦”行為的占比約21%;深信服發(fā)布的《2019年網(wǎng)絡(luò )安全態(tài)勢報告》也顯示,教育在“挖礦”木馬優(yōu)先攻擊的行業(yè)中排名第三。
本該是一片凈土的象牙塔,為何成了不法“挖礦”分子眼中的香餑餑?一方面,高校數據中心、二級學(xué)院重點(diǎn)實(shí)驗室(科研)、超算中心中存放著(zhù)大量高性能的服務(wù)器、云主機和虛擬主機;另一方面,教育、教學(xué)及管理終端數量巨大,通過(guò)局域網(wǎng)即可實(shí)現快速的橫向感染傳播;此外,師生等個(gè)人網(wǎng)絡(luò )安全防護意識相對薄弱。特別是那些擁有一定規模數據中心、具備海量計算資源的高職高校往往成為“挖礦”的首選目標。
惡意黑客利用智慧校園業(yè)務(wù)對外暴露的端口、應用、系統中存在的高危漏洞、弱口令等問(wèn)題入侵主機,獲得主機控制權限,并植入“挖礦”程序;利用部分校園網(wǎng)用戶(hù)安全意識淡薄的特點(diǎn),采用釣魚(yú)郵件、惡意鏈接、訪(fǎng)問(wèn)網(wǎng)頁(yè)掛馬、下載捆綁病毒的注冊機破解軟件等手段,在師生毫不知情的情況下完成入侵;狡猾的黑客還有意在夜深人靜時(shí)啟動(dòng)“挖礦”,使得白天上班的運維人員難以察覺(jué);或者通過(guò)隱蔽的傳輸通道如DNS隱蔽隧道來(lái)隱藏或控制“挖礦”行為,這樣一來(lái)“挖礦”病毒潛伏時(shí)間更長(cháng),攻擊頻率更低,更難以被安全設備監測處置。
一旦被“挖礦”病毒入侵,學(xué)校將遭受一系列的危害。除了電力能耗增大、設備老化加速,經(jīng)濟損失嚴重;黑客還會(huì )留下后門(mén)惡意竊取機密信息,直接引發(fā)或變相滋生各種網(wǎng)絡(luò )犯罪……高校亟需補齊“挖礦”治理的基本能力,制定高效治理方案。
深信服助力高校構建“挖礦”清零治理四大能力體系
深信服認為,高校“挖礦”治理需要重視排查、封堵、處置、運營(yíng)四大環(huán)節,用戶(hù)安全能力的構建也應由此下手。
1. 構建準確、全面的“挖礦”排查能力
挖礦幣種、協(xié)議與礦池地址快速迭代,新型幣種“挖礦”通訊過(guò)程天然自帶加密信息等因素導致“挖礦”檢測難度增大。針對不同類(lèi)型的“挖礦”方式,需要構建差異化的分析算法,匹配更全面的情報能力。
對于加密“挖礦”,深信服首推利用AI模型作為分析算法的核心解決方案,通過(guò)提取“挖礦”流量的時(shí)空特征建立預測模型。該模型算法檢出率較高,且誤報率低于2%。
而在應對幣種信息的不斷迭代上,深信服首度將對全網(wǎng)40億IP主動(dòng)探測的威脅情報技術(shù)應用在實(shí)時(shí)監控全網(wǎng)IP中的新增礦池信息上。
2. 構建自動(dòng)化、閉環(huán)的挖礦封堵、處置能力
針對高校數據中心區終端:深信服通過(guò)安全感知管理平臺SIP聯(lián)動(dòng)全網(wǎng)安全設備,基于邊界流量、終端行為等多源維度捕捉“挖礦”行為;在發(fā)現后,通過(guò)自動(dòng)化劇本,實(shí)現下一代防火墻AF流量阻斷隔離、終端安全管理平臺EDR關(guān)閉端口等自動(dòng)化隔離,避免橫向擴散;對于頑固病毒和深層“挖礦”行為,深信服還可派出安服專(zhuān)家進(jìn)行現場(chǎng)處置閉環(huán)。
挖礦行為治理整體邏輯
針對教學(xué)、辦公區終端:在獲得“挖礦”IP后,深信服可通過(guò)流量探針進(jìn)行交換機表項讀取,跨三層獲取帶時(shí)間戳的MAC信息;結合帶時(shí)間戳的MAC、IP信息即可輕易定位終端情況。同時(shí),深信服安全感知管理平臺SIP還支持與常見(jiàn)校園認證系統的對接,與MAC/IP/時(shí)間等內容比對后,獲得“挖礦”用戶(hù)的實(shí)名信息,結合學(xué)校管理要求,可輕易實(shí)現“挖礦”終端訪(fǎng)問(wèn)的阻斷或上網(wǎng)賬號凍結。
3. 構建全流程、云地協(xié)同的挖礦運營(yíng)能力
深信服安全感知管理平臺SIP具備強大的工單能力,支持打通校園網(wǎng)絡(luò )辦事大廳,與學(xué)校各部門(mén)體系人員形成有效的閉環(huán)處置流程,并通過(guò)工單系統閉環(huán)每個(gè)挖礦行為。同時(shí),可基于需要配套本地、云端安全專(zhuān)家協(xié)助處置。
此外,深信服還可以提供基于“挖礦”的SPA專(zhuān)家分析服務(wù)。安服專(zhuān)家借助深信服安全感知管理平臺強大的安全檢測能力,結合專(zhuān)家現場(chǎng)的自主發(fā)現,對安全流量日志進(jìn)行“外部威脅識別、內部脆弱性問(wèn)題深挖、內網(wǎng)安全事件判斷和安全有效性”分析研判。面對面匯報與解讀研判結果,幫助教育用戶(hù)盡早發(fā)現關(guān)鍵風(fēng)險問(wèn)題,并通過(guò)提供可落地的修復處置建議和指導,推動(dòng)用戶(hù)全面提升安全健康度,實(shí)現“實(shí)時(shí)清零”。
目前,深信服已經(jīng)具備豐富、強大的工具檢測能力和安全經(jīng)驗,擁有完善的挖礦全流程構建能力;基于自動(dòng)化劇本,可實(shí)現多設備聯(lián)動(dòng)封堵,有效降低教育用戶(hù)被通報概率,提升挖礦運維便捷度;同時(shí),基于安全運營(yíng)的“挖礦”病毒事件全流程主動(dòng)響應,支持按次、按時(shí)長(cháng)等靈活指標進(jìn)行服務(wù)化交付,幫助用戶(hù)快速、輕量化獲得全生命周期的挖礦事件防御能力。
可以預見(jiàn),在各界的共同努力下,教育行業(yè)用戶(hù)將一起打贏(yíng)這場(chǎng)“清零攻堅戰”。深信服也將不辱使命,通過(guò)創(chuàng )新產(chǎn)品、解決方案與服務(wù),精準狙擊“挖礦”病毒,還校園一片安全、美麗的藍天。來(lái)源:深信服公眾微信號
