2018年04月03日
目前,越來(lái)越多的網(wǎng)絡(luò)罪犯都通過(guò)劫持目標(biāo)企業(yè)的系統(tǒng)和網(wǎng)站,來(lái)進(jìn)行加密貨幣的挖礦(cryptocurrency mining)勾當(dāng)。
根據(jù)Crowdstrike和其他多家安全廠商的最新報(bào)告顯示:在攻擊者劫持各個(gè)企業(yè)的系統(tǒng)用于Monero(門(mén)羅幣)、或其他諸如Ethereum(以太坊)和Zcash(零幣)等數(shù)字貨幣進(jìn)行挖礦之后,這些企業(yè)的應(yīng)用程序和運(yùn)營(yíng)都遭受了嚴(yán)重的干擾。
在許多情況下,網(wǎng)絡(luò)攻擊者會(huì)秘密地在網(wǎng)站上安裝加密器,并乘人們?cè)L問(wèn)該網(wǎng)站之機(jī)劫持訪問(wèn)者的系統(tǒng)。
與勒索軟件和其他惡意軟件不同,加密貨幣挖礦軟件(cryptominer)一般是一些合法的軟件工具,因此不大容易被反惡意軟件產(chǎn)品所檢測(cè)到。鑒于它們唯一所做的事情就是:利用系統(tǒng)的CPU資源去服務(wù)于挖礦算法,因此加密挖礦軟件經(jīng)常會(huì)在不被人察覺(jué)到的情況下運(yùn)行。許多加密挖礦工具還會(huì)故意節(jié)制對(duì)CPU和電力使用,以使得它們?cè)谀繕?biāo)系統(tǒng)上更加不會(huì)引人注目。而事實(shí)上,性能的下降通常就是計(jì)算機(jī)已被加密貨幣挖礦軟件所劫持的一種跡象。
就像許多其他無(wú)用的軟件工具那樣,加密貨幣挖礦軟件對(duì)那些不遵循基本和長(zhǎng)期安全防護(hù)策略的組織構(gòu)成了重要的威脅。它們會(huì)像其他惡意軟件產(chǎn)品一樣被迅速地傳播,因此我們需要及時(shí)采取相似的應(yīng)對(duì)措施。
下面,我們列出了針對(duì)加密貨幣挖礦軟件和任意惡意軟件的七種最佳防護(hù)實(shí)踐:
1. 加強(qiáng)端點(diǎn)的安全控制
安全公司CrowdStrike的服務(wù)總監(jiān)Bryan York說(shuō):強(qiáng)大的端點(diǎn)保護(hù)(endpoint protection)對(duì)于挖礦類(lèi)惡意軟件的防護(hù)是至關(guān)重要的。如果您不希望加密軟件運(yùn)行在您終端用戶和主機(jī)系統(tǒng)上的話,我們就必須對(duì)將終端進(jìn)行持續(xù)的更新和打補(bǔ)丁。在用戶瀏覽網(wǎng)頁(yè)時(shí),我們可以考慮在瀏覽器上使用廣告攔截、禁用JavaScript、以及專(zhuān)為阻止加密貨幣挖礦而設(shè)計(jì)的瀏覽器擴(kuò)展插件。我們還應(yīng)該為遠(yuǎn)程訪問(wèn)服務(wù)實(shí)施多因素的身份驗(yàn)證,并將網(wǎng)絡(luò)予以分段,以限制數(shù)據(jù)的橫向移動(dòng)。
如今,端點(diǎn)保護(hù)技術(shù)完全可以幫助您檢測(cè)并阻止那些加密貨幣挖礦軟件及其相關(guān)的行為。York補(bǔ)充說(shuō):“此外,一些先進(jìn)的端點(diǎn)技術(shù)還能夠阻止那些使用無(wú)文件惡意代碼(fileless malware)技術(shù)的挖礦軟件,并在網(wǎng)絡(luò)進(jìn)行傳播與感染。”因此,這些新技術(shù)很值得我們?nèi)ソ梃b。
Mike McLellan是戴爾旗下安全公司Secureworks里反威脅部門(mén)的高級(jí)安全研究員。他表示通過(guò)考慮實(shí)施集中式日志記錄功能,企業(yè)可以用來(lái)檢測(cè)、限制和捕獲各種惡意活動(dòng)。一種能夠識(shí)別出站挖礦流量的方法是:使用受監(jiān)控的出向端口采集點(diǎn),來(lái)管理各種出站的網(wǎng)絡(luò)連接及其流量,特別是那些使用非標(biāo)準(zhǔn)端口的、且未被加密的數(shù)據(jù)流。
2. 審查網(wǎng)站的安全控制
確保網(wǎng)絡(luò)攻擊者無(wú)法使用您的網(wǎng)站,作為加密挖礦軟件工具的寄存平臺(tái)。他們會(huì)經(jīng)常在網(wǎng)站所有者不知情中將挖礦軟件安裝到網(wǎng)站之上,然后去劫持那些訪問(wèn)該網(wǎng)站的用戶電腦,以“開(kāi)采”門(mén)羅或其他類(lèi)型加密貨幣。
網(wǎng)絡(luò)安全提供商High-Tech Bridge的首席執(zhí)行官I(mǎi)lia Kolochenko說(shuō):“使用各種內(nèi)容安全策略和類(lèi)似的安全機(jī)制,我們?cè)趯?duì)Web服務(wù)器進(jìn)行安全加固的同時(shí),也能夠防止跨站腳本和跨站請(qǐng)求偽造等許多常見(jiàn)可被利用的因素。”因此,請(qǐng)您確保自己的管理員密碼足夠復(fù)雜且唯一,并盡可能地實(shí)施雙因素身份驗(yàn)證。
Web應(yīng)用防火墻可以幫助消除、或至少減少自研發(fā)代碼中的那些未知漏洞、及漏洞被利用的可能性。Kolchenko補(bǔ)充說(shuō):“在許多企業(yè)的真實(shí)環(huán)境中,連續(xù)的安全監(jiān)控已經(jīng)成為了確保Web應(yīng)用安全的通用實(shí)踐和標(biāo)準(zhǔn),各類(lèi)安全從業(yè)人員千萬(wàn)不可掉以輕心,畢竟多一雙眼睛就可能會(huì)有多一份安全”。
3. 實(shí)施嚴(yán)格的訪問(wèn)控制
我們要對(duì)系統(tǒng)和應(yīng)用的信任憑證實(shí)施最小權(quán)限原則,并限制使用管理員身份去訪問(wèn)授權(quán)用戶的上下文內(nèi)容。McLellan說(shuō):“對(duì)于Windows系統(tǒng),請(qǐng)考慮使用微軟的本地管理員密碼解決方案(Local Admin Password Solution,LAPS)來(lái)簡(jiǎn)化和加強(qiáng)密碼的管理。”
對(duì)于那些能被外部所訪問(wèn)到的服務(wù),請(qǐng)實(shí)施雙因素身份驗(yàn)證。而對(duì)于遠(yuǎn)程管理等功能,請(qǐng)考慮棄用那些標(biāo)準(zhǔn)的端口與服務(wù),而采用定制化服務(wù)予以實(shí)現(xiàn),他補(bǔ)充說(shuō)。
4. 安全的第三方軟件和組件
The Media Trust公司的首席執(zhí)行官Chris Olson說(shuō):不要讓易受攻擊的第三方代碼拉低甚至破壞了您網(wǎng)站的整體安全性。請(qǐng)審核所有那些為您的網(wǎng)站能夠正常運(yùn)營(yíng)而提供代碼的合作伙伴,并且將您的數(shù)據(jù)隱私政策及時(shí)傳達(dá)給他們。對(duì)于那些不合規(guī)的供應(yīng)商,請(qǐng)立即終止合作關(guān)系,不要姑息。
“對(duì)所有已知合作伙伴的網(wǎng)站進(jìn)行例行評(píng)估,這對(duì)于向他們傳遞貴司的期望和強(qiáng)化合規(guī)性都是至關(guān)重要的。”O(jiān)lson還說(shuō):“持續(xù)的網(wǎng)站監(jiān)控不但有利于及時(shí)地檢測(cè)到那些‘流氓’代碼,還能在它們一旦被執(zhí)行時(shí)就立即予以終止。”
5. 保護(hù)您的云帳戶
云計(jì)算和IT管理解決方案提供商BMC的產(chǎn)品管理副總裁Daniel Nelson指出:各類(lèi)攻擊者已經(jīng)開(kāi)始通過(guò)劫持大公司的公有云賬戶,來(lái)“開(kāi)采”加密貨幣了。例如,為了“挖礦”的目的,攻擊客們?cè)?jīng)在AWS平臺(tái)的那些未被安全配置的Kubernetes容器集群里,瘋狂地劫獲其計(jì)算能力。
“各個(gè)企業(yè)應(yīng)該實(shí)施諸如SecOps Policy Service(BMC的安全運(yùn)維策略服務(wù))的自動(dòng)化解決方案,以持續(xù)監(jiān)控、評(píng)估和修復(fù)各種容器的棧”,Nelson說(shuō)。通過(guò)使用這些工具,您的容器堆棧內(nèi)部能夠以程序設(shè)定的方式實(shí)行安全策略。
同時(shí),請(qǐng)務(wù)必檢測(cè)出您所使用的云端服務(wù)中的各個(gè)盲點(diǎn)。Nelson強(qiáng)調(diào):“如今,影子IT(Shadow IT)相當(dāng)?shù)鼗钴S。”就算企業(yè)的IT們知曉了其云端所配置的全部服務(wù)器,他們也不一定能夠完全掌控安裝在這些服務(wù)器上的所有軟件。因此,發(fā)現(xiàn)并了解云端服務(wù)的具體使用程度也是至關(guān)重要的。
6. 限制各種不必要的服務(wù)
Secureworks的McLellan還補(bǔ)充說(shuō):如果您并不需要某個(gè)服務(wù),那么請(qǐng)立即禁用之。比如說(shuō)SMB v1之類(lèi)的內(nèi)部協(xié)議,如果它們?cè)趹?yīng)用程序并不能發(fā)揮所需的業(yè)務(wù)功能,我們就完全沒(méi)有保留它們的必要。而對(duì)于那些無(wú)法刪除、但對(duì)于大多數(shù)用戶的確是完全用不到的系統(tǒng)組件,例如PowerShell,我們應(yīng)當(dāng)立即限制對(duì)它們的訪問(wèn)權(quán)限。
7. 保護(hù)您的物聯(lián)網(wǎng)
High-Tech Bridge的Kolochenko進(jìn)一步指出:在某些工廠里,那些具有互聯(lián)網(wǎng)連接的物聯(lián)網(wǎng)設(shè)備,例如:地板傳感器、安全攝像頭和智能恒溫器等,因?yàn)椴惶哂刑幚淼哪芰Γ怨粽咭膊惶信d趣劫獲這些系統(tǒng),來(lái)進(jìn)行加密貨幣的挖礦。但是反過(guò)來(lái)說(shuō),如果他們確實(shí)劫獲了,您可能也不太會(huì)想到或發(fā)現(xiàn)到。
因此,“對(duì)于如今數(shù)以百萬(wàn)計(jì)的物聯(lián)網(wǎng)設(shè)備而言,它們雖然被設(shè)計(jì)為用于處理或存儲(chǔ)各種機(jī)密的或個(gè)人隱私的信息,但是它們卻并不具有基本的密碼保護(hù)選項(xiàng)。一些管理員密碼甚至被硬編碼到芯片之中,而無(wú)法被修改。”他還補(bǔ)充說(shuō):與此同時(shí),這些物聯(lián)網(wǎng)設(shè)備和開(kāi)源組件的Web界面往往會(huì)充斥、或暴露了各種可以被攻擊者輕易利用的關(guān)鍵性漏洞。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢(xún)、評(píng)估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商。