请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 197|回复: 0

【小目标,一个“译”】+ 加密货币挖矿攻击的七种防护方法(1)

[复制链接]
发表于 2019-4-8 13:08:31 | 显示全部楼层 |阅读模式
引言:实施基本的安全防护工作可以保障您的系统和网站免于被当作“挖矿机”。

目前,越来越多的网络罪犯都通过劫持目标企业的系统和网站,来进行加密货币的挖矿(cryptocurrency mining)勾当。
根据Crowdstrike和其他多家安全厂商的最新报告(https://www.darkreading.com/attacks-breaches/crypto-mining-attacks-emerge-as-the-new-big-threat-to-enterprises/d/d-id/1330965)显示:在攻击者劫持各个企业的系统用于Monero(门罗币)、或其他诸如Ethereum(以太坊)和Zcash(零币)等数字货币进行挖矿之后,这些企业的应用程序和运营都遭受了严重的干扰。
在许多情况下,网络攻击者会秘密地在网站上安装加密器,并乘人们访问该网站之机劫持访问者的系统。
与勒索软件和其他恶意软件不同,加密货币挖矿软件(cryptominer)一般是一些合法的软件工具,因此不大容易被反恶意软件产品所检测到。鉴于它们唯一所做的事情就是:利用系统的CPU资源去服务于挖矿算法,因此加密挖矿软件经常会在不被人察觉到的情况下运行。许多加密挖矿工具还会故意节制对CPU和电力使用,以使得它们在目标系统上更加不会引人注目。而事实上,性能的下降通常就是计算机已被加密货币挖矿软件所劫持的一种迹象。
就像许多其他无用的软件工具那样,加密货币挖矿软件对那些不遵循基本和长期安全防护策略的组织构成了重要的威胁。它们会像其他任何恶意软件产品一样被迅速地传播,因此我们需要及时采取相似的应对措施。
下面我们列出了针对加密货币挖矿软件和任意恶意软件的七种最佳防护实践:
1. 加强端点的安全控制
安全公司CrowdStrike的服务总监Bryan York说:强大的端点保护(endpoint protection)对于挖矿类恶意软件的防护是至关重要的。如果您不希望加密软件运行在您终端用户和主机系统上的话,我们就必须对将终端进行持续的更新和打补丁。在用户浏览网页时,我们可以考虑在浏览器上使用广告拦截、禁用JavaScript、以及专为阻止加密货币挖矿而设计的浏览器扩展插件。我们还应该为远程访问服务实施多因素的身份验证,并将网络予以分段,以限制数据的横向移动。
如今,端点保护技术完全可以帮助您检测并阻止那些加密货币挖矿软件及其相关的行为。York补充说:“此外,一些先进的端点技术还能够阻止那些使用无文件恶意代码(filelessmalware)技术的挖矿软件,并在网络进行传播与感染。”因此,这些新技术很值得我们去借鉴。
Mike McLellan是戴尔旗下安全公司Secureworks里反威胁部门的高级安全研究员。他说:通过考虑实施集中式日志记录功能,企业可以用来检测、限制和捕获各种恶意活动。一种能够识别出站挖矿流量的方法是:使用受监控的出向端口采集点,来管理各种出站的网络连接及其流量,特别是那些使用非标准端口的、且未被加密的数据流。
2. 审查网站的安全控制
确保网络攻击者无法使用您的网站,作为加密挖矿软件工具的寄存平台。他们会经常在网站所有者不知情中将挖矿软件安装到网站之上,然后去劫持那些访问该网站的用户电脑,以“开采”门罗或其他类型加密货币。
网络安全提供商High-Tech Bridge的首席执行官Ilia Kolochenko说:“使用各种内容安全策略和类似的安全机制,我们在对Web服务器进行安全加固的同时,也能够防止跨站脚本和跨站请求伪造等许多常见可被利用的因素。”因此,请您确保自己的管理员密码足够复杂且唯一,并尽可能地实施双因素身份验证。
Web应用防火墙可以帮助消除、或至少减少自研发代码中的那些未知漏洞、及漏洞被利用的可能性。Kolchenko补充说:“在许多企业的真实环境中,连续的安全监控已经成为了确保Web应用安全的通用实践和标准,各类安全从业人员千万不可掉以轻心,毕竟多一双眼睛就可能会有多一份安全”。
3. 实施严格的访问控制
我们要对系统和应用的信任凭证实施最小权限原则,并限制使用管理员身份去访问授权用户的上下文内容。McLellan说:“对于Windows系统,请考虑使用微软的本地管理员密码解决方案(Local Admin Password Solution,LAPS)来简化和加强密码的管理。”
对于那些能被外部所访问到的服务,请实施双因素身份验证。而对于远程管理等功能,请考虑弃用那些标准的端口与服务,而采用定制化服务予以实现,他补充说。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-4-23 04:43 , Processed in 0.089003 second(s), 32 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表