“谁动了我的奶酪？” 从挖矿脚本谈企业网络安全

“浏览即挖矿，黑客总能找到各种稀奇古怪的资源牟利”

近年来，数字货币成为经济金融界最热门的话题。 目前比特币、以太坊、门罗币等虚拟加密数字货币，逐渐成为一场全世界都在参与的“财富盛宴”。当然，还有常年活跃在网络上的神秘人物——网络黑客的存在，他们的参与方式比普通人更独特、更奇特，脑洞层出不穷。

2018年2月，不少漫迷在论坛上反映，在“快看漫画网”浏览网页时，电脑会出现速度变慢甚至异常发热的情况。

经相关安全机构检测，发现网站被黑，并被植入挖矿代码。 当用户访问时，访问者电脑的CPU资源被用来挖门罗币，占用访问者大量的电脑资源，导致用户电脑卡顿。 、高温甚至死机手机网页挖以太坊，从而在网站上掀起黑客地下产业链恶意挖矿脚本的一角。 事实上，就被挖矿而言，“快看”网站也不例外。

据BlockBeats统计，截至2018年7月9日，全网已有超过3万个网站内置挖矿代码。 用户只要打开网站浏览操作，网站就会调用电脑或手机的计算能力。 用于采矿的资源。 据 Adguard 统计，全球约有 5 亿台电脑被绑架挖矿。 这些用户在不知情的情况下为黑客提供CPU算力，被迫占用大量系统资源，严重影响了操作体验和硬件。 生活。

随着虚拟货币价格的“突飞猛进”，通过在网站中植入挖矿脚本实现流量变现正在成为一股不可阻挡的力量，因为这显然比在网站上展示广告有着更直接、更可观的收益。 挖矿的巨额利润势必会吸引众多黑客。 作为企业，如果其门户网站被黑客劫持传播挖矿脚本，不仅会损害企业的声誉和客户的声誉，还可能被媒体曝光。 ，在来自朋友和商家的舆论压力下，公众黑稿给公司的品牌效应带来了无法弥补的损失。

那么，作为企业安全管理者，如何才能不让自己这块“奶酪”被“啃掉”呢？

一、未雨绸缪，完善企业资产管理

是的，鲁迅先生曾经说过：未雨绸缪，未雨绸缪。 在企业网络攻击防御方面，预防总是比补偿更方便。

在传统的企业资产管理中，安全人员从运维人员处获取资产清单，导入传统的扫描仪进行扫描，通过扫描仪返回的结果来确认每一项资产的状态，从而进行资产管理。

但实际上，运维人员的资产清单往往由于各种原因滞后，甚至在某些方面登记不全面，导致资产在进行资产扫描时，部分资产不在扫描行列中。扫描过程。 因此，它脱离了安全监控，成为所谓的“边缘资产”。 如果这类“边缘资产”存在安全漏洞，很容易被攻击者利用进入内网，进行更深层次的安全攻击。

此外，传统扫描器的扫描结果多基于特征而非可验证的结论，因此存在大量误报，增加了运维人员的筛查负担和工作量，导致运维人员不付费注意扫描仪的结果，导致一些误报。 报告的严重问题可能会被忽略，使扫描效果大打折扣。

同时，针对企业外部资产泄露，传统的资产扫描能力难以接入，需要补充其他工具或能力。

基于上述传统资产管理的不足，结合大多数企业资产环境的现状，建议企业安全管理人员在资产自动发现、识别、建模和安全漏洞检测的基础上，实现一体化的资产管理和安全监控，同时实现外部风险监控，检测信息泄露，对所有风险进行实时告警。

综合资产管理与安全监控平台主要设计思路

通过这样的资产管理平台，可以从资产发现、资产漏洞安全管理、对外信息泄露等多个维度对企业资产进行更细致的管理和保护，可以大大减少企业内部未注册边缘资产的使用由黑客。 将其作为内网攻击跳板的可能性大大增强了企业资产的安全能力。

2.兵来将挡，水来掩护

通过上述资产安全能力建设，我们内网资产的安全得到了一定的保障。 但是你有想过吗？ 一旦企业的安全边界能力被黑客攻破或绕过，即黑客成功进入企业内部网络并开始恶意行为，企业如何第一时间感知到这一事件并及时处理？紧急情况？

当今主流的安全防御机制往往由防火墙或NGFW、入侵检测、网闸、杀毒软件等构成其核心检测能力。 这些产品依靠已知的攻击签名进行模式匹配来检测已知的网络攻击。 在某些特定情况下，还可以检测到针对已知漏洞的新的未知攻击。

这样的解决方案可以有效检测常见的已知网络攻击手机网页挖以太坊，但是对于威胁最大的高级可持续威胁和东西向流量安全却完全无能为力。 在大多数情况下，APT攻击在传统的安全防御机制面前无所适从。 由于这些攻击没有签名，传统的防御机制无法在初始阶段检测到攻击者使用的攻击方法。 最终，网络攻击者可以任意控制网络。

一些保护更深入的传统解决方案会结合IPS（入侵防御系统）或NBA（网络行为分析系统）产品来检测异常，帮助发现网络攻击。 尽管这种方法可以检测到新型 APT 威胁，但它经常遭受误报（将正常流量归类为异常），防御效果较差，还容易出现误报。

在此背景下，根据大多数企业当前的安全状况，建议构建有针对性的入侵感知能力和攻击者溯源能力，从所有边界安全手段都可能被默认绕过的角度构建最后一道防线，即是，在入侵成功后，攻击者实时感知并尝试隔离和转发攻击流量，并实时记录攻击行为，从而实现入侵感知、响应响应的完整入侵感知溯源体系的构建、减少损失和事后溯源。

根据目前大部分企业的安全能力，结合攻击者常用的攻击流程，建议企业在IDC、办公网络等内网环境中设计如下基于攻击欺骗的入侵检测与攻击溯源系统。

通过蜜罐组网和蜜罐诱饵实现高精度蜜网，实现以下欺骗防御能力：

基于攻击欺骗的入侵感知与攻击溯源体系构建思路

2015年至2017年，Gartner连续三年将“欺骗”定位为未来安全技术趋势之一。 通过构建上述内网攻击感知能力，实现内网业务系统环境“真假相真”。 这样一来，所有的攻击流量都隔离在虚拟系统中，所有的行为都被记录下来，甚至溯源到真人，让黑客的真实IP和网络ID都掌握在企业手中。 真兵来了，堵水盖土。