云算力保卫战 云主机挖矿治理“三步半”
作者: 日期:2022年06月15日 阅:1,345

“挖矿”行为的危害无需多言。自去年以来,我国虚拟货币监管政策持续加码,清退“挖矿”活动与禁止相关业务活动双管齐下,全力打击治理违法“挖矿”行为。就如上面这个通告中说明的一样,虽然运营商、服务商已经全面禁止云主机挖矿,却仍有不少“矿工”会千方百计,发动无差别攻击去寻找“矿机”,而疏于防范的云主机便是他们的猎物之一。

沦为“矿机”的云主机,危害有大?

首先,“挖矿”需要一个庞大的算力系统,会完全吞噬用户的云算力,云主机CPU飚满,直接影响企业的正常业务往来,更会付出额外的电力成本和运维成本。

其次,部分挖矿木马还具备蠕虫化的特点,在主机被成功入侵之后,挖矿木马还会向内网渗透,并在被入侵的主机上持久化驻留以获取最大收益。

图:典型的挖矿木马攻击场景、步骤和通信过程

最后,一些挖矿的主机还可能会被植入勒索病毒,携带APT攻击代码等等,导致组织重要数据泄露,或者黑客利用已经控制的机器,作为继续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事件发生。

云主机防挖矿“三步半”

“挖矿”木马已是继勒索病毒后网络犯罪分子牟利的又一重磅利器,而拥有庞大数量级的云数据中心正成为“挖矿”木马重要攻击目标。对此,亚信安全建议用户通过“事前早发现、事中防得住、事后能跟踪”的三条原则来建立防护体系,为云主机提供一体化的安全防护平台,实现挖矿攻击的全面治理。

  • 半步:“无代理”做好准备

为什么要先说这“半步”呢?当原有服务器设备在迁移至云资源池后,其上部署的传统防病毒方案(需要安装代理客户端)将产生“防毒扫描风暴(AV Storms)”。这是因为,传统防病毒方案与虚拟化底层兼容性极低,当云主机均采用这些技术时,一旦采用全盘扫描病毒或集中升级代码时,就会造成抢占CPU、内存、存储I/O和网络拥堵的现象,直接造成业务访问延迟或超时。因此,在云主机防止挖矿之前,先要选对平台,利用“无代理”等新技术,从下至上形成底层防护。

  • 第一步:事前早发现

无数台云主机构成了企业的云算力,随着数字化业务持续增长,云主机可能就会出现失控逃逸的情况,存在众多“灰色”资产,造成了严重的安全隐患。因此,对于挖矿威胁的防御,第一步就是要构建资产指纹库,避免资产死角,全面摸清家底。其次,云数据中心离不开强大的漏洞风险检测及修复能力,需能够对漏洞风险进行精准发现并得到有效修复。最后,是云主机要形成安全策略的一致性,这就离不开强大的基线合规性检查能力,不留死角,防止风险的产生。

  • 第二步:事中防得住

面对挖矿木马和不法分子的攻击,应实现基于攻击路径的实时检测与分析能力,及时发现失陷主机,提供虚拟补丁等响应措施,有效阻止黑客进一步入侵。此外,还应对主机网络进行快速隔离,避免“挖矿”病毒横向传播,并且同步通过基因识别、虚拟沙盒等技术精准识别“挖矿”病毒,提供多样化响应措施。

  • 第三步:事后能跟踪

对于已发生的挖矿病毒事件,需要拥有“高清”的威胁检测及响应产品,通过EDR对操作系统中的文件、进程、注册表和网络连接的海量信息中攻击过程进行可视化呈现,找到攻击发生的根本原因、还原复杂的攻击技术、并有针对性地进行响应和处置。

XDR挖矿治理有道,云主机更有“特殊”关照

针对挖矿治理,亚信安全提供了XDR整体方案,不仅可以帮助用户更早的发现挖矿木马威胁、定位高危资产,并且通过根因和范围分析,确定是存在挖矿行为,攻击是怎么发生,从而确保终端和云端不留死角。XDR整体方案中,共设立了14个关键监测点,通过信桅深度威胁发现设备(TDA)、信舱云主机安全(DeepSecurity)、信端病毒防护(OfficeScan)、信端终端检测与响应系统(EDR)、网络检测与响应(TDA+Spiderflow)、信舷防毒墙(AISEdge)、调查分析威胁狩猎服务等,多维度发现、检测、响应、查杀、恢复和预防挖矿病毒。

特别是针对云主机一体化安全防护,亚信安全提供了能够全面覆盖云工作负载保护平台(Cloud Workload Protection Platform,CWPP)的信舱云主机安全(DeepSecurity)产品,可通过资产管理、安全基线、虚拟补丁、日志审核、漏洞风险管理和主机资源监控等手段,助力客户建立面向物理机、虚拟机、容器多种云工作负载的防护体系,从而满足“事前、事中、事后”的全面覆盖。

为云算力构筑起第二道防火墙

当前,云安全问题已成为云计算产业发展痛点,云计算产业规模的扩大,更需要利用安全技术的突破与创新,解决和改善云安全问题。其中,云主机安全更是云安全系统核心构成,也称为第二道防火墙。为此,亚信安全将协助各个行业用户筑牢这道墙,确保它不被“挖”穿,共同赢得云算力的保卫战!

关于亚信安全

亚信安全是中国网络安全软件领域企业,是业内“懂网、懂云”的网络安全公司。秉承建网基因,坚守护网之责,亚信安全以护航产业互联为使命,以安全数字世界为愿景。基于“安全定义边界”的发展理念,亚信安全以身份安全为基础,以云网安全和端点安全为重心,以安全中台为枢纽,以威胁情报为支撑,构建“云化、联动、智能”的技术战略,守护亿万家庭和关键信息网络,为我国从网络大国向网络强国迈进保驾护航。

欲了解更多,请访问: http://www.asiainfo-sec.com

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章