股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
云主机挖矿治理(lǐ)“三步半” 确保算力杠杠滴!
发布时间 :2022年06月13日
类型 :勒索软件
分(fēn)享:
!通告
為(wèi)了保障用(yòng)户云服務(wù)器的稳定运行,规避因此给您带来的法律风险,请勿使用(yòng)我司云主机从事相关活动,如有(yǒu)发现,将直接关闭,不予退费!
“挖矿”行為(wèi)的危害无需多(duō)言。自去年以来,我國(guó)虚拟货币监管政策持续加码,清退“挖矿”活动与禁止相关业務(wù)活动双管齐下,全力打击治理(lǐ)违法“挖矿”行為(wèi)。就如上面这个通告中(zhōng)说明的一样,虽然运营商(shāng)、服務(wù)商(shāng)已经全面禁止云主机挖矿,却仍有(yǒu)不少“矿工(gōng)”会千方百计,发动无差别攻击去寻找“矿机”,而疏于防范的云主机便是他(tā)们的猎物(wù)之一。
沦為(wèi)“矿机”的云主机,危害有(yǒu)大?
首先,“挖矿”需要一个庞大的算力系统,会完全吞噬用(yòng)户的云算力,云主机CPU飚满,直接影响企业的正常业務(wù)往来,更会付出额外的電(diàn)力成本和运维成本。
其次,部分(fēn)挖矿木(mù)马还具(jù)备蠕虫化的特点,在主机被成功入侵之后,挖矿木(mù)马还会向内网渗透,并在被入侵的主机上持久化驻留以获取最大收益。
图:典型的挖矿木(mù)马攻击场景、步骤和通信过程
最后,一些挖矿的主机还可(kě)能(néng)会被植入勒索病毒,携带APT攻击代码等等,导致组织重要数据泄露,或者黑客利用(yòng)已经控制的机器,作(zuò)為(wèi)继续对内网渗透或攻击其他(tā)目标的跳板,导致更严重的网络安(ān)全攻击事件发生。
云主机防挖矿“三步半”
“挖矿”木(mù)马已是继勒索病毒后网络犯罪分(fēn)子牟利的又(yòu)一重磅利器,而拥有(yǒu)庞大数量级的云数据中(zhōng)心正成為(wèi)“挖矿”木(mù)马重要攻击目标。对此,亚信安(ān)全建议用(yòng)户通过“事前早发现、事中(zhōng)防得住、事后能(néng)跟踪”的三条原则来建立防护體(tǐ)系,為(wèi)云主机提供一體(tǐ)化的安(ān)全防护平台,实现挖矿攻击的全面治理(lǐ)。
半步:“无代理(lǐ)”做好准备
為(wèi)什么要先说这“半步”呢(ne)?当原有(yǒu)服務(wù)器设备在迁移至云资源池后,其上部署的传统防病毒方案(需要安(ān)装(zhuāng)代理(lǐ)客户端)将产(chǎn)生“防毒扫描风暴(AV Storms)”。这是因為(wèi),传统防病毒方案与虚拟化底层兼容性极低,当云主机均采用(yòng)这些技(jì )术时,一旦采用(yòng)全盘扫描病毒或集中(zhōng)升级代码时,就会造成抢占CPU、内存、存储I/O和网络拥堵的现象,直接造成业務(wù)访问延迟或超时。因此,在云主机防止挖矿之前,先要选对平台,利用(yòng)“无代理(lǐ)”等新(xīn)技(jì )术,从下至上形成底层防护。
第一步:事前早发现
无数台云主机构成了企业的云算力,随着数字化业務(wù)持续增長(cháng),云主机可(kě)能(néng)就会出现失控逃逸的情况,存在众多(duō)“灰色”资产(chǎn),造成了严重的安(ān)全隐患。因此,对于挖矿威胁的防御,第一步就是要构建资产(chǎn)指纹库,避免资产(chǎn)死角,全面摸清家底。其次,云数据中(zhōng)心离不开强大的漏洞风险检测及修复能(néng)力,需能(néng)够对漏洞风险进行精(jīng)准发现并得到有(yǒu)效修复。最后,是云主机要形成安(ān)全策略的一致性,这就离不开强大的基線(xiàn)合规性检查能(néng)力,不留死角,防止风险的产(chǎn)生。
第二步:事中(zhōng)防得住
面对挖矿木(mù)马和不法分(fēn)子的攻击,应实现基于攻击路径的实时检测与分(fēn)析能(néng)力,及时发现失陷主机,提供虚拟补丁等响应措施,有(yǒu)效阻止黑客进一步入侵。此外,还应对主机网络进行快速隔离,避免“挖矿”病毒横向传播,并且同步通过基因识别、虚拟沙盒等技(jì )术精(jīng)准识别“挖矿”病毒,提供多(duō)样化响应措施。
第三步:事后能(néng)跟踪
对于已发生的挖矿病毒事件,需要拥有(yǒu)“高清”的威胁检测及响应产(chǎn)品,通过EDR对操作(zuò)系统中(zhōng)的文(wén)件、进程、注册表和网络连接的海量信息中(zhōng)攻击过程进行可(kě)视化呈现,找到攻击发生的根本原因、还原复杂的攻击技(jì )术、并有(yǒu)针对性地进行响应和处置。
XDR挖矿治理(lǐ)有(yǒu)道,
云主机更有(yǒu)“特殊”关照
针对挖矿治理(lǐ),亚信安(ān)全提供了XDR整體(tǐ)方案,不仅可(kě)以帮助用(yòng)户更早的发现挖矿木(mù)马威胁、定位高危资产(chǎn),并且通过根因和范围分(fēn)析,确定是存在挖矿行為(wèi),攻击是怎么发生,从而确保终端和云端不留死角。XDR整體(tǐ)方案中(zhōng),共设立了14个关键监测点,通过信桅深度威胁发现设备(TDA)、信舱云主机安(ān)全(DeepSecurity)、信端病毒防护(O?ceScan)、信端终端检测与响应系统(EDR)、 网络检测与响应(TDA+Spiderflow)、信舷防毒墙(AISEdge)、调查分(fēn)析威胁狩猎服務(wù)等,多(duō)维度发现、检测、响应、查杀、恢复和预防挖矿病毒。
特别是针对云主机一體(tǐ)化安(ān)全防护,亚信安(ān)全提供了能(néng)够全面覆盖云工(gōng)作(zuò)负载保护平台(Cloud?Workload?Protection?Platform,CWPP)的信舱云主机安(ān)全(DeepSecurity)产(chǎn)品,可(kě)通过资产(chǎn)管理(lǐ)、安(ān)全基線(xiàn)、虚拟补丁、日志(zhì)审核、漏洞风险管理(lǐ)和主机资源监控等手段,助力客户建立面向物(wù)理(lǐ)机、虚拟机、容器多(duō)种云工(gōng)作(zuò)负载的防护體(tǐ)系,从而满足“事前、事中(zhōng)、事后”的全面覆盖。
為(wèi)云算力构筑起第二道防火墙
当前,云安(ān)全问题已成為(wèi)云计算产(chǎn)业发展痛点,云计算产(chǎn)业规模的扩大,更需要利用(yòng)安(ān)全技(jì )术的突破与创新(xīn),解决和改善云安(ān)全问题。其中(zhōng),云主机安(ān)全更是云安(ān)全系统核心构成,也称為(wèi)第二道防火墙。為(wèi)此,亚信安(ān)全将协助各个行业用(yòng)户筑牢这道墙,确保它不被“挖”穿,共同赢得云算力的保卫战!
分(fēn)享到微信
X