云算力保卫战 云主机挖矿治理“三步半”

【2022年6月14日】“挖矿”行为的危害无需多言。自去年以来，我国虚拟货币监管政策持续加码，清退“挖矿”活动与禁止相关业务活动双管齐下，全力打击治理违法“挖矿”行为。就如上面这个通告中说明的一样，虽然运营商、服务商已经全面禁止云主机挖矿，却仍有不少“矿工”会千方百计，发动无差别攻击去寻找“矿机”，而疏于防范的云主机便是他们的猎物之一。

沦为“矿机”的云主机，危害有大？

首先，“挖矿”需要一个庞大的算力系统，会完全吞噬用户的云算力，云主机CPU飚满，直接影响企业的正常业务往来，更会付出额外的电力成本和运维成本。

其次，部分挖矿木马还具备蠕虫化的特点，在主机被成功入侵之后，挖矿木马还会向内网渗透，并在被入侵的主机上持久化驻留以获取最大收益。

图：典型的挖矿木马攻击场景、步骤和通信过程

最后，一些挖矿的主机还可能会被植入勒索病毒，携带APT攻击代码等等，导致组织重要数据泄露，或者黑客利用已经控制的机器，作为继续对内网渗透或攻击其他目标的跳板，导致更严重的网络安全攻击事件发生。

云主机防挖矿“三步半”

“挖矿”木马已是继勒索病毒后网络犯罪分子牟利的又一重磅利器，而拥有庞大数量级的云数据中心正成为“挖矿”木马重要攻击目标。对此，亚信安全建议用户通过“事前早发现、事中防得住、事后能跟踪”的三条原则来建立防护体系，为云主机提供一体化的安全防护平台，实现挖矿攻击的全面治理。

· 半步：“无代理”做好准备

为什么要先说这“半步”呢？当原有服务器设备在迁移至云资源池后，其上部署的传统防病毒方案（需要安装代理客户端）将产生“防毒扫描风暴(AV Storms)”。这是因为，传统防病毒方案与虚拟化底层兼容性极低，当云主机均采用这些技术时，一旦采用全盘扫描病毒或集中升级代码时，就会造成抢占CPU、内存、存储I/O和网络拥堵的现象，直接造成业务访问延迟或超时。因此，在云主机防止挖矿之前，先要选对平台，利用“无代理”等新技术，从下至上形成底层防护。

· 第一步：事前早发现

无数台云主机构成了企业的云算力，随着数字化业务持续增长，云主机可能就会出现失控逃逸的情况，存在众多“灰色”资产，造成了严重的安全隐患。因此，对于挖矿威胁的防御，第一步就是要构建资产指纹库，避免资产死角，全面摸清家底。其次，云数据中心离不开强大的漏洞风险检测及修复能力，需能够对漏洞风险进行精准发现并得到有效修复。最后，是云主机要形成安全策略的一致性，这就离不开强大的基线合规性检查能力，不留死角，防止风险的产生。

· 第二步：事中防得住

面对挖矿木马和不法分子的攻击，应实现基于攻击路径的实时检测与分析能力，及时发现失陷主机，提供虚拟补丁等响应措施，有效阻止黑客进一步入侵。此外，还应对主机网络进行快速隔离，避免“挖矿”病毒横向传播，并且同步通过基因识别、虚拟沙盒等技术精准识别“挖矿”病毒，提供多样化响应措施。

· 第三步：事后能跟踪

对于已发生的挖矿病毒事件，需要拥有“高清”的威胁检测及响应产品，通过EDR对操作系统中的文件、进程、注册表和网络连接的海量信息中攻击过程进行可视化呈现，找到攻击发生的根本原因、还原复杂的攻击技术、并有针对性地进行响应和处置。

XDR挖矿治理有道，云主机更有“特殊”关照

针对挖矿治理，亚信安全提供了XDR整体方案，不仅可以帮助用户更早的发现挖矿木马威胁、定位高危资产，并且通过根因和范围分析，确定是存在挖矿行为，攻击是怎么发生，从而确保终端和云端不留死角。XDR整体方案中，共设立了14个关键监测点，通过信桅深度威胁发现设备(TDA)、信舱云主机安全(DeepSecurity)、信端病毒防护(OfficeScan)、信端终端检测与响应系统(EDR)、网络检测与响应(TDA+Spiderflow)、信舷防毒墙(AISEdge)、调查分析威胁狩猎服务等，多维度发现、检测、响应、查杀、恢复和预防挖矿病毒。

特别是针对云主机一体化安全防护，亚信安全提供了能够全面覆盖云工作负载保护平台(Cloud Workload Protection Platform，CWPP)的信舱云主机安全(DeepSecurity)产品，可通过资产管理、安全基线、虚拟补丁、日志审核、漏洞风险管理和主机资源监控等手段，助力客户建立面向物理机、虚拟机、容器多种云工作负载的防护体系，从而满足“事前、事中、事后”的全面覆盖。

为云算力构筑起第二道防火墙

当前，云安全问题已成为云计算产业发展痛点，云计算产业规模的扩大，更需要利用安全技术的突破与创新，解决和改善云安全问题。其中，云主机安全更是云安全系统核心构成，也称为第二道防火墙。为此，亚信安全将协助各个行业用户筑牢这道墙，确保它不被“挖”穿，共同赢得云算力的保卫战！

关于亚信安全

亚信安全是中国网络安全软件领域的领跑者，是业内“懂网、懂云”的网络安全公司。秉承建网基因，坚守护网之责，亚信安全以护航产业互联为使命，以安全数字世界为愿景。基于“安全定义边界”的发展理念，亚信安全以身份安全为基础，以云网安全和端点安全为重心，以安全中台为枢纽，以威胁情报为支撑，构建“云化、联动、智能”的技术战略，守护亿万家庭和关键信息网络，为我国从网络大国向网络强国迈进保驾护航。

欲了解更多，请访问: http://www.asiainfo-sec.com