2021年,虛拟貨币作爲“挖礦”世界裏的(de)“大(dà)紅人(rén)”,價格一度創下(xià)曆史新高(gāo)(諸如比特币69000美(měi)元/枚,約438515元人(rén)民币/枚)。高(gāo)昂的(de)利潤催生了(le)聲勢浩大(dà)的(de)“挖礦”大(dà)軍加入這場充滿誘惑的(de)所謂造富神話,“挖礦”病毒也(yě)成爲全球不法分(fēn)子利用(yòng)最頻繁的(de)攻擊方式之一,國内的(de)情況也(yě)不容樂觀。其中,不少高(gāo)校也(yě)成爲了(le)不法分(fēn)子實現所謂“财富夢想”的(de)重要攻擊對象。
教育行業成“挖礦”木(mù)馬優先攻擊對象
江蘇省通(tōng)信管理(lǐ)局曾指出,從IP地址歸屬和(hé)性質看,歸屬黨政機關、高(gāo)校、企業的(de)IP被入侵利用(yòng)開展虛拟貨币“挖礦”行爲的(de)占比約21%;深信服發布的(de)《2019年網絡安全态勢報告》也(yě)顯示,教育在“挖礦”木(mù)馬優先攻擊的(de)行業中排名第三。
本該是一片淨土的(de)象牙塔,爲何成了(le)不法“挖礦”分(fēn)子眼中的(de)香饽饽?一方面,高(gāo)校數據中心、二級學院重點實驗室(科研)、超算(suàn)中心中存放著(zhe)大(dà)量高(gāo)性能的(de)服務器、雲主機和(hé)虛拟主機;另一方面,教育、教學及管理(lǐ)終端數量巨大(dà),通(tōng)過局域網即可(kě)實現快(kuài)速的(de)橫向感染傳播;此外,師生等個人(rén)網絡安全防護意識相對薄弱。特别是那些擁有一定規模數據中心、具備海量計算(suàn)資源的(de)高(gāo)職高(gāo)校往往成爲“挖礦”的(de)目标。
惡意黑(hēi)客利用(yòng)智慧校園業務對外暴露的(de)端口、應用(yòng)、系統中存在的(de)高(gāo)危漏洞、弱口令等問題入侵主機,獲得(de)主機控制權限,并植入“挖礦”程序;利用(yòng)部分(fēn)校園網用(yòng)戶安全意識淡薄的(de)特點,采用(yòng)釣魚郵件、惡意鏈接、訪問網頁挂馬、下(xià)載捆綁病毒的(de)注冊機破解軟件等手段,在師生毫不知情的(de)情況下(xià)完成入侵;狡猾的(de)黑(hēi)客還有意在夜深人(rén)靜時啓動“挖礦”,使得(de)白天上班的(de)運維人(rén)員難以察覺;或者通(tōng)過隐蔽的(de)傳輸通(tōng)道如DNS隐蔽隧道來隐藏或控制“挖礦”行爲,這樣一來“挖礦”病毒潛伏時間更長,攻擊頻率更低,更難以被安全設備監測處置。
一旦被“挖礦”病毒入侵,學校将遭受一系列的(de)危害。除了(le)電力能耗增大(dà)、設備老化(huà)加速,經濟損失嚴重;黑(hēi)客還會留下(xià)後門惡意竊取機密信息,直接引發或變相滋生各種網絡犯罪……高(gāo)校亟需補齊“挖礦”治理(lǐ)的(de)基本能力,制定高(gāo)效治理(lǐ)方案。
深信服助力高(gāo)校構建“挖礦”清零治理(lǐ)四大(dà)能力體系
深信服認爲,高(gāo)校“挖礦”治理(lǐ)需要重視排查、封堵、處置、運營四大(dà)環節,用(yòng)戶安全能力的(de)構建也(yě)應由此下(xià)手。
1. 構建準确、全面的(de)“挖礦”排查能力
挖礦币種、協議與礦池地址快(kuài)速叠代,新型币種“挖礦”通(tōng)訊過程天然自帶加密信息等因素導緻“挖礦”檢測難度增大(dà)。針對不同類型的(de)“挖礦”方式,需要構建差異化(huà)的(de)分(fēn)析算(suàn)法,匹配更全面的(de)情報能力。
對于加密“挖礦”,深信服首推利用(yòng)AI模型作爲分(fēn)析算(suàn)法的(de)核心解決方案,通(tōng)過提取“挖礦”流量的(de)時空特征建立預測模型。該模型算(suàn)法檢出率較高(gāo),且誤報率低于2%。
而在應對币種信息的(de)不斷叠代上,深信服首度将對全網40億IP主動探測的(de)威脅情報技術應用(yòng)在實時監控全網IP中的(de)新增礦池信息上。
2. 構建自動化(huà)、閉環的(de)挖礦封堵、處置能力
針對高(gāo)校數據中心區終端:深信服通(tōng)過安全感知管理(lǐ)平台SIP聯動全網安全設備,基于邊界流量、終端行爲等多(duō)源維度捕捉“挖礦”行爲;在發現後,通(tōng)過自動化(huà)劇本,實現下(xià)一代防火牆AF流量阻斷隔離、終端安全管理(lǐ)平台EDR關閉端口等自動化(huà)隔離,避免橫向擴散;對于頑固病毒和(hé)深層“挖礦”行爲,深信服還可(kě)派出安服專家進行現場處置閉環。
挖礦行爲治理(lǐ)整體邏輯
針對教學、辦公區終端:在獲得(de)“挖礦”IP後,深信服可(kě)通(tōng)過流量探針進行交換機表項讀取,跨三層獲取帶時間戳的(de)MAC信息;結合帶時間戳的(de)MAC、IP信息即可(kě)輕易定位終端情況。同時,深信服安全感知管理(lǐ)平台SIP還支持與常見校園認證系統的(de)對接,與MAC/IP/時間等内容比對後,獲得(de)“挖礦”用(yòng)戶的(de)實名信息,結合學校管理(lǐ)要求,可(kě)輕易實現“挖礦”終端訪問的(de)阻斷或上網賬号凍結。
3. 構建全流程、雲地協同的(de)挖礦運營能力
深信服安全感知管理(lǐ)平台SIP具備強大(dà)的(de)工單能力,支持打通(tōng)校園網絡辦事大(dà)廳,與學校各部門體系人(rén)員形成有效的(de)閉環處置流程,并通(tōng)過工單系統閉環每個挖礦行爲。同時,可(kě)基于需要配套本地、雲端安全專家協助處置。
此外,深信服還可(kě)以提供基于“挖礦”的(de)SPA專家分(fēn)析服務。安服專家借助深信服安全感知管理(lǐ)平台強大(dà)的(de)安全檢測能力,結合專家現場的(de)自主發現,對安全流量日志進行“外部威脅識别、内部脆弱性問題深挖、内網安全事件判斷和(hé)安全有效性”分(fēn)析研判。面對面彙報與解讀研判結果,幫助教育用(yòng)戶盡早發現關鍵風險問題,并通(tōng)過提供可(kě)落地的(de)修複處置建議和(hé)指導,推動用(yòng)戶全面提升安全健康度,實現“實時清零”。
目前,深信服已經具備豐富、強大(dà)的(de)工具檢測能力和(hé)安全經驗,擁有完善的(de)挖礦全流程構建能力;基于自動化(huà)劇本,可(kě)實現多(duō)設備聯動封堵,有效降低教育用(yòng)戶被通(tōng)報概率,提升挖礦運維便捷度;同時,基于安全運營的(de)“挖礦”病毒事件全流程主動響應,支持按次、按時長等靈活指标進行服務化(huà)交付,幫助用(yòng)戶快(kuài)速、輕量化(huà)獲得(de)全生命周期的(de)挖礦事件防禦能力。
可(kě)以預見,在各界的(de)共同努力下(xià),教育行業用(yòng)戶将一起打赢這場“清零攻堅戰”。深信服也(yě)将不辱使命,通(tōng)過創新産品、解決方案與服務,精準狙擊“挖礦”病毒,還校園一片安全、美(měi)麗的(de)藍天。
客服1 
客服2