不想免費(fèi)當(dāng)“挖礦機(jī)”,那你要會(huì)針對加密貨幣挖礦攻擊的這七種防護(hù)方法
2018年04月03日
目前��,越來越多的網(wǎng)絡(luò)罪犯都通過劫持目標(biāo)企業(yè)的系統(tǒng)和網(wǎng)站���,來進(jìn)行加密貨幣的挖礦(cryptocurrency mining)勾當(dāng)���。
根據(jù)Crowdstrike和其他多家安全廠商的最新報(bào)告顯示:在攻擊者劫持各個(gè)企業(yè)的系統(tǒng)用于Monero(門羅幣)、或其他諸如Ethereum(以太坊)和Zcash(零幣)等數(shù)字貨幣進(jìn)行挖礦之后�����,這些企業(yè)的應(yīng)用程序和運(yùn)營都遭受了嚴(yán)重的干擾����。
在許多情況下���,網(wǎng)絡(luò)攻擊者會(huì)秘密地在網(wǎng)站上安裝加密器�,并乘人們訪問該網(wǎng)站之機(jī)劫持訪問者的系統(tǒng)����。
與勒索軟件和其他惡意軟件不同,加密貨幣挖礦軟件(cryptominer)一般是一些合法的軟件工具,因此不大容易被反惡意軟件產(chǎn)品所檢測到����。鑒于它們唯一所做的事情就是:利用系統(tǒng)的CPU資源去服務(wù)于挖礦算法,因此加密挖礦軟件經(jīng)常會(huì)在不被人察覺到的情況下運(yùn)行����。許多加密挖礦工具還會(huì)故意節(jié)制對CPU和電力使用,以使得它們在目標(biāo)系統(tǒng)上更加不會(huì)引人注目��。而事實(shí)上�,性能的下降通常就是計(jì)算機(jī)已被加密貨幣挖礦軟件所劫持的一種跡象。
就像許多其他無用的軟件工具那樣�,加密貨幣挖礦軟件對那些不遵循基本和長期安全防護(hù)策略的組織構(gòu)成了重要的威脅。它們會(huì)像其他惡意軟件產(chǎn)品一樣被迅速地傳播����,因此我們需要及時(shí)采取相似的應(yīng)對措施。
下面��,我們列出了針對加密貨幣挖礦軟件和任意惡意軟件的七種最佳防護(hù)實(shí)踐:
1. 加強(qiáng)端點(diǎn)的安全控制
安全公司CrowdStrike的服務(wù)總監(jiān)Bryan York說:強(qiáng)大的端點(diǎn)保護(hù)(endpoint protection)對于挖礦類惡意軟件的防護(hù)是至關(guān)重要的�。如果您不希望加密軟件運(yùn)行在您終端用戶和主機(jī)系統(tǒng)上的話,我們就必須對將終端進(jìn)行持續(xù)的更新和打補(bǔ)丁����。在用戶瀏覽網(wǎng)頁時(shí)����,我們可以考慮在瀏覽器上使用廣告攔截�、禁用JavaScript、以及專為阻止加密貨幣挖礦而設(shè)計(jì)的瀏覽器擴(kuò)展插件����。我們還應(yīng)該為遠(yuǎn)程訪問服務(wù)實(shí)施多因素的身份驗(yàn)證,并將網(wǎng)絡(luò)予以分段���,以限制數(shù)據(jù)的橫向移動(dòng)�����。
如今�����,端點(diǎn)保護(hù)技術(shù)完全可以幫助您檢測并阻止那些加密貨幣挖礦軟件及其相關(guān)的行為��。York補(bǔ)充說:“此外,一些先進(jìn)的端點(diǎn)技術(shù)還能夠阻止那些使用無文件惡意代碼(fileless malware)技術(shù)的挖礦軟件����,并在網(wǎng)絡(luò)進(jìn)行傳播與感染。”因此���,這些新技術(shù)很值得我們?nèi)ソ梃b��。
Mike McLellan是戴爾旗下安全公司Secureworks里反威脅部門的高級安全研究員�����。他表示通過考慮實(shí)施集中式日志記錄功能�����,企業(yè)可以用來檢測���、限制和捕獲各種惡意活動(dòng)。一種能夠識(shí)別出站挖礦流量的方法是:使用受監(jiān)控的出向端口采集點(diǎn)����,來管理各種出站的網(wǎng)絡(luò)連接及其流量,特別是那些使用非標(biāo)準(zhǔn)端口的��、且未被加密的數(shù)據(jù)流����。
2. 審查網(wǎng)站的安全控制
確保網(wǎng)絡(luò)攻擊者無法使用您的網(wǎng)站�����,作為加密挖礦軟件工具的寄存平臺(tái)����。他們會(huì)經(jīng)常在網(wǎng)站所有者不知情中將挖礦軟件安裝到網(wǎng)站之上����,然后去劫持那些訪問該網(wǎng)站的用戶電腦,以“開采”門羅或其他類型加密貨幣����。
網(wǎng)絡(luò)安全提供商High-Tech Bridge的首席執(zhí)行官Ilia Kolochenko說:“使用各種內(nèi)容安全策略和類似的安全機(jī)制,我們在對Web服務(wù)器進(jìn)行安全加固的同時(shí)��,也能夠防止跨站腳本和跨站請求偽造等許多常見可被利用的因素���?���!币虼?�,請您確保自己的管理員密碼足夠復(fù)雜且唯一�����,并盡可能地實(shí)施雙因素身份驗(yàn)證���。
Web應(yīng)用防火墻可以幫助消除���、或至少減少自研發(fā)代碼中的那些未知漏洞、及漏洞被利用的可能性��。Kolchenko補(bǔ)充說:“在許多企業(yè)的真實(shí)環(huán)境中�,連續(xù)的安全監(jiān)控已經(jīng)成為了確保Web應(yīng)用安全的通用實(shí)踐和標(biāo)準(zhǔn),各類安全從業(yè)人員千萬不可掉以輕心�,畢竟多一雙眼睛就可能會(huì)有多一份安全”。
3. 實(shí)施嚴(yán)格的訪問控制
我們要對系統(tǒng)和應(yīng)用的信任憑證實(shí)施最小權(quán)限原則��,并限制使用管理員身份去訪問授權(quán)用戶的上下文內(nèi)容���。McLellan說:“對于Windows系統(tǒng)���,請考慮使用微軟的本地管理員密碼解決方案(Local Admin Password Solution,LAPS)來簡化和加強(qiáng)密碼的管理����?��!?/span>
對于那些能被外部所訪問到的服務(wù),請實(shí)施雙因素身份驗(yàn)證�。而對于遠(yuǎn)程管理等功能,請考慮棄用那些標(biāo)準(zhǔn)的端口與服務(wù)���,而采用定制化服務(wù)予以實(shí)現(xiàn)��,他補(bǔ)充說����。
4. 安全的第三方軟件和組件
The Media Trust公司的首席執(zhí)行官Chris Olson說:不要讓易受攻擊的第三方代碼拉低甚至破壞了您網(wǎng)站的整體安全性���。請審核所有那些為您的網(wǎng)站能夠正常運(yùn)營而提供代碼的合作伙伴���,并且將您的數(shù)據(jù)隱私政策及時(shí)傳達(dá)給他們。對于那些不合規(guī)的供應(yīng)商��,請立即終止合作關(guān)系����,不要姑息。
“對所有已知合作伙伴的網(wǎng)站進(jìn)行例行評估,這對于向他們傳遞貴司的期望和強(qiáng)化合規(guī)性都是至關(guān)重要的����。”O(jiān)lson還說:“持續(xù)的網(wǎng)站監(jiān)控不但有利于及時(shí)地檢測到那些‘流氓’代碼����,還能在它們一旦被執(zhí)行時(shí)就立即予以終止�����?!?/span>
5. 保護(hù)您的云帳戶
云計(jì)算和IT管理解決方案提供商BMC的產(chǎn)品管理副總裁Daniel Nelson指出:各類攻擊者已經(jīng)開始通過劫持大公司的公有云賬戶,來“開采”加密貨幣了��。例如����,為了“挖礦”的目的,攻擊客們曾經(jīng)在AWS平臺(tái)的那些未被安全配置的Kubernetes容器集群里�,瘋狂地劫獲其計(jì)算能力。
“各個(gè)企業(yè)應(yīng)該實(shí)施諸如SecOps Policy Service(BMC的安全運(yùn)維策略服務(wù))的自動(dòng)化解決方案�,以持續(xù)監(jiān)控、評估和修復(fù)各種容器的?�!?����,Nelson說。通過使用這些工具�����,您的容器堆棧內(nèi)部能夠以程序設(shè)定的方式實(shí)行安全策略����。
同時(shí),請務(wù)必檢測出您所使用的云端服務(wù)中的各個(gè)盲點(diǎn)��。Nelson強(qiáng)調(diào):“如今���,影子IT(Shadow IT)相當(dāng)?shù)鼗钴S��?�!本退闫髽I(yè)的IT們知曉了其云端所配置的全部服務(wù)器�,他們也不一定能夠完全掌控安裝在這些服務(wù)器上的所有軟件�。因此,發(fā)現(xiàn)并了解云端服務(wù)的具體使用程度也是至關(guān)重要的�。
6. 限制各種不必要的服務(wù)
Secureworks的McLellan還補(bǔ)充說:如果您并不需要某個(gè)服務(wù),那么請立即禁用之。比如說SMB v1之類的內(nèi)部協(xié)議���,如果它們在應(yīng)用程序并不能發(fā)揮所需的業(yè)務(wù)功能����,我們就完全沒有保留它們的必要����。而對于那些無法刪除�、但對于大多數(shù)用戶的確是完全用不到的系統(tǒng)組件,例如PowerShell�����,我們應(yīng)當(dāng)立即限制對它們的訪問權(quán)限����。
7. 保護(hù)您的物聯(lián)網(wǎng)
High-Tech Bridge的Kolochenko進(jìn)一步指出:在某些工廠里,那些具有互聯(lián)網(wǎng)連接的物聯(lián)網(wǎng)設(shè)備�,例如:地板傳感器、安全攝像頭和智能恒溫器等����,因?yàn)椴惶哂刑幚淼哪芰Γ怨粽咭膊惶信d趣劫獲這些系統(tǒng),來進(jìn)行加密貨幣的挖礦��。但是反過來說�����,如果他們確實(shí)劫獲了��,您可能也不太會(huì)想到或發(fā)現(xiàn)到�。
因此,“對于如今數(shù)以百萬計(jì)的物聯(lián)網(wǎng)設(shè)備而言�����,它們雖然被設(shè)計(jì)為用于處理或存儲(chǔ)各種機(jī)密的或個(gè)人隱私的信息�,但是它們卻并不具有基本的密碼保護(hù)選項(xiàng)。一些管理員密碼甚至被硬編碼到芯片之中�,而無法被修改?�!彼€補(bǔ)充說:與此同時(shí)��,這些物聯(lián)網(wǎng)設(shè)備和開源組件的Web界面往往會(huì)充斥��、或暴露了各種可以被攻擊者輕易利用的關(guān)鍵性漏洞���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�����、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)��、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”�����、“制度流程”�、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案���,業(yè)務(wù)涵蓋咨詢�����、評估����、規(guī)劃、管控��、建設(shè)����、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商���。
