“誰動了我的奶酪?”從挖礦腳本談企業網絡安全
“瀏覽即挖礦,黑客總能找到各種奇怪的資源來牟利“
近年來,數字貨幣已經成為經濟和金融界最為熱門的話題,目前的虛擬加密數字貨幣比如比特幣、以太坊、門羅幣等都已經漸漸成為了全世界都在參與的“財富盛宴“。當然,這其中也不乏常年活躍于互聯網的神秘人士——網絡黑客們的存在感,而且他們的參與方式相比常人,顯得更加另類清奇,腦洞迭出。
2018年2月,有不少漫友在論壇上反饋說在“快看漫畫網”上瀏覽網頁過程中,電腦會出現卡慢甚至異常發熱的情況。
經過相關安全機構的檢測發現該網站被黑客入侵并植入了挖礦代碼,在用戶訪問時,利用訪問者電腦的CPU資源挖門羅幣,大量占用訪問者電腦資源,造成用戶電腦出現卡頓、高溫甚至死機,至此掀起了網站惡意挖礦腳本這一黑客地下產業鏈的一角。而實際在被挖礦這件事上,“快看漫畫“網站并非個例。
根據區塊律動BlockBeats統計數據,截止到2018年 7 月 9 日,全網有超過 3 萬家網站被內置了挖礦代碼,只要用戶打開網站進行瀏覽、操作,網站就會調用電腦或手機的計算資源來進行挖礦。而根據Adguard的數據統計,全球約有 5 億臺電腦曾被綁架挖礦,這些用戶在不知情的情況下為黑客提供了CPU算力,并被強制占用大量系統資源,嚴重影響操作體驗和硬件壽命。
隨著虛擬貨幣價格的一路”高歌猛進“,利用在網站中插入挖礦腳本來實現流量變現正在成為一股不可阻擋的勢力,因為這顯然比網站的展示廣告有著更加直接可觀的收益。挖礦的巨大利潤勢必會讓許多黑客們趨之若鶩,作為企業,如果自家的門戶網站被黑客劫持用于散播挖礦腳本,不僅會使企業信譽受損、客戶口碑下降,還可能在媒體的曝光披露、友商公共黑稿的輿論壓力下給企業的品牌效應帶來不可挽回的損失。
那么,作為企業安全管理者,該如何防止自家的這塊“奶酪“被”啃“呢?
1. 未雨綢繆,完善企業資產管理
是的,魯迅先生曾經說過:“未雨綢繆,有備無患“,在抵御企業網絡攻擊這里,預防永遠比彌補來的方便。
傳統的企業資產管理中,安全人員從運維人員那里獲得資產列表,導入傳統掃描器掃描,通過掃描器返回的結果來確認各資產狀態,從而進行資產管理。
然而實際上,運維人員的資產列表往往由于各種原因存在滯后性,甚至在某些方面登記并不全面,這就導致了在資產掃描過程中,有一部分資產并未被劃入掃描行列,從而脫離了安全監控,成為了所謂的“邊緣資產”,這類“邊緣資產”若存在安全漏洞,極易被攻擊者利用,從而進入內網,進行更深層次的安全攻擊。
此外,傳統掃描器的掃描結果大多基于特征而非驗證性結論,因而存在大量誤報,加重運維人員甄別負擔和工作量,導致運維人員對掃描器結果并不看重,從而導致有些非誤報的嚴重問題可能被忽略,使得掃描效果大大降低。
同時,針對公司外部資產泄露問題,傳統資產掃描能力難以觸及,需補充其他工具或能力。
基于以上傳統資產管理的缺陷,結合當前大部分企業資產環境現狀,建議企業安全管理者實現基于資產自動發現、識別、建模以及安全漏洞檢測的一體化資產管理與安全監控,同時實現外部風險監控,檢測信息泄露情況,并對所有風險進行實時告警。
一體化資產管理與安全監控平臺主要設計思想
通過這樣的資產管理平臺可以從資產發現、資產漏洞安全管理、外部信息泄露等多個維度針對企業資產進行更為細致的管理與防護,可大幅降低企業內部未登記在案的邊緣資產被黑客用作跳板進行內網攻擊的可能性,顯著增強企業資產層面的安全能力。
2. 兵來將擋,水來土掩
通過上述的資產安全能力建設,我們在內網資產層面的安全已經得到了一定保證。可你是否想過?一旦企業的安全邊界能力被黑客攻破或者繞過,即黑客已經成功進入企業的內網并開始惡意行為了,企業要如何第一時間感知這件事從而進行應急處理?
現今主流的安全防御機制,往往由防火墻或NGFW、入侵檢測、網閘及防毒軟件建構其核心檢測能力,這些產品依靠已知攻擊特征碼進行模式匹配來檢測已知的網絡攻擊,在一些特定情況下,也可能檢測針對已知漏洞的新的未知攻擊。
這樣的解決方案,能非常有效的監測到一般的已知網絡攻擊,但針對現今最具威脅的高級可持續威脅和東西流量安全,卻完全沒有招架之力。在大多數情況下,APT攻擊面對傳統的安全防御機制時,有如入無人之境,因為這些攻擊沒有特征碼,故傳統的防御機制無法檢測攻擊者在起始階段所采取的攻擊手段,最終導致網絡攻擊者可以任意的控制網絡。
一些防護更深入的傳統方案,會結合IPS(入侵防御系統)或者NBA(網絡行為分析系統)產品進行異常檢測,協助找到網絡攻擊,這種方式雖然可以偵測到新型的APT威脅,但是由于經常受到誤報的影響(將正常流量歸為異常),因此防御效果不佳,并且也容易出現漏報的問題。
在此背景下,根據大部分企業當前安全形勢,建議針對性建設入侵感知能力以及攻擊者溯源能力,通過一個默認所有邊界安全手段都有可能被繞過的視角建設安全的最后一道防線,即在攻擊者成功入侵后實時感知并嘗試進行攻擊流量隔離、轉發,記錄攻擊行為,從而實現入侵感知、相應、降低損失以及事后溯源的全套入侵感知與溯源體系建設。
根據大部分企業當前安全能力,結合攻擊者常用的攻擊流程,建議企業在IDC、辦公網等內網環境設計如下基于攻擊欺騙的入侵感知與攻擊溯源體系。
通過蜜罐組網、蜜罐誘餌實現高精度蜜網,并實現以下欺騙防御能力建設:
基于攻擊欺騙的入侵感知與攻擊溯源體系建設思路
Gartner在2015年到2017年,連續三年把“欺騙防御”(Deception)定位為未來的安全技術趨勢之一。通過構建上述的內網攻擊感知能力,可以實現內網業務系統環境“真真假假,虛虛實實“,攻擊者進來進行內網掃描時壓根不知道誰是真正的業務系統,結果被擁有各種很好利用的漏洞的虛假業務系統欺騙,結果攻擊流量全部被隔離在虛擬系統中,行為全部被記錄,甚至進行了真人溯源,從而黑客的真實IP、網絡ID全部被企業掌握在手,做到真正的兵來將擋水來土掩。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
