1月10日,为有效防范和处置虚拟货币挖矿活动带来的风险隐患,进一步实现我国碳达峰碳中和的高质量发展目标,国家发改委发布《国家发展改革委关于修改<产业结构调整指导目录(2019年本)>的决定》,重点提及虚拟货币挖矿的全链条治理工作。该决定明确指出发改委将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”这三个方面为重点开展全面整治。长扬科技快速响应,紧跟国家政策,针对大中型工业企业及集团客户应对挖矿行为预警难,定位难,防控难等特点,发布“挖矿”治理“三位一体”解决方案。
1“挖矿”背景及风险分析
据剑桥大学替代金融研究中心的数据,截至2021年5月17日,全球仅比特币"挖矿"的年耗电量大约是1348.9亿度。
整个虚拟货币挖矿带来的耗电量正在爆炸式增长。此前,这些"矿场"大多集中于我国,对能源供给带来巨大压力。这与我国力争在2030年前实现碳达峰、2060年前实现碳中和这一重大战略决策相悖。
同时,这些“挖矿”木马及病毒攻击极易造成内网资产出现故障,如网络阻塞、蓝屏宕机等现象,直接威胁工控网络生产环境稳定运行。同时挖矿木马的远程控制和窃密功能对外部攻击者敞开了通道,极有可能被后续网络攻击利用,执行勒索、定向破坏等恶意目的,同时持续产生海量告警事件对其他网络攻击活动形成一定掩护作用,容易干扰其他威胁分析研判,因此急需快速治理集团信息与工控网络中活动的挖矿病毒。
虚拟货币“挖矿”能源消耗和碳排放量大,对产业发展、科技进步不具有积极的带动作用,加之虚拟货币生产、交易环节衍生的风险越发突出,其盲目无序发展对推动经济社会高质量发展和节能减排造成严重不利影响。整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现“双碳”目标具有重要意义。
2“三位一体”解决方案
2.1 企业防护
随着社会和经济的高度信息化、网络化,现代企业、机关单位的发展已经和网络密不可分,与此同时网络信息安全问题日益突出,已成为当前网络安全管理的热点和难点问题。近年来网络安全事故不断上升,通过分析发现大部分原因都是企业自身安全防护不到位、网络安全概念认知不足而导致的。在如今的互联网时代,保障网络安全是企业发展的重中之重。
为了提升客户网络安全防护能力,针对企业自身的“挖矿”治理,长扬科技安全团队已对多种主流的挖矿病毒及木马进行采样分析,并对其工作原理进行了深入研究,针对“挖矿”病毒及木马提出信息网+工控网“全面检测、闭环处置、立体防护”三位一体的解决方案。
针对“挖矿木马”的活动特性,从木马远程控制服务器、协同挖矿的“矿池”、挖矿工具“矿机”流量等特征进行精准识别,形成已感染挖矿木马处于失陷状态的资产列表,逐一进行通报处置跟踪,并利用平台流量历史记录对挖矿木马的异常行为进行追溯分析、处置,提升全网立体防护能力。
2.1.1 IT+OT网全面检测
(一) 主机(探针+主机卫士)+智能采集器精确定位
通过部署长扬科技主机(探针+主机卫士)+智能采集器结合AI智能识别定位技术,对于存在恶意软件自动化传播过程中常见的端口扫描、漏洞利用、暴力破解等异常网络行为,信息网及工控资产 CPU 等资源占用过高等异常现象进行排查,同时针对状态可疑的资产进行协作分析,一旦发现包括挖矿木马及病毒在内的恶意软件就可以提取其特征值形成精确检测规则,持续补充挖矿治理专项工作的安全监测能力,快速精准定位挖矿主机及病毒。
(二) 防火墙+IPS/IDS特征拦截潜在的挖矿外联行为
通过部署长扬科技防火墙,结合IPS/IDS特征库识别技术,快速拦截通过钓鱼邮件、恶意站点、软件捆绑下载等方式诱导用户点击其恶意脚本程序,不仅能检测出不可读的随机字符构成的域名,还能检测出使用单词拼接方式仿造正常域名的恶意域名,快速识别异常外联流量,定位组织网络中的挖矿主机。
2.1.2 IT+OT网闭环处置
防火墙+IPS/IDS+主机卫士闭环处置“挖矿木马/病毒”
部署长扬科技防火墙+IPS/IDS+主机卫士,通过先期安全团队收集和集成一些已知威胁情报信息,相较于公开威胁情报还通过平台运营中安全告警事件处置中的样本分析建立适应网络环境和恶意软件流行家族的专有检测能力。通过“从失陷资产找异常,从异常找失陷资产”不断互补实现挖矿活动检测能力的持续提升,最终标记出全网络环境内与挖矿活动相关的失陷资产,通过主机卫士白名单及挖矿木马/病毒处置功能推动处置闭环。
2.1.3 IT+OT网立体防护
长扬科技安全运维团队针对“挖矿”治理提出IT+OT网立体防护解决方案,其中包括安全运维、应急处置及重大活动安全保障三项措施。依据现有已建设完成的安全产品,结合我司的态势感知工具,将信息网和工控网各安全产品及防护设备有序的结合起来,数据汇总分析,日志泛化处理,态势感知预测。检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞及资产安全态势。
2.2 垂直监管
针对垂直管理组织架构的集团用户,下属企业及机关单位自身网络安全防护不到位、网络安全概念认知不足的情况时有发生。按照国家或省级监管单位对下属企业“挖矿”管理要求、认定规则及监测通报机制,需要进一步提高总部监管单位对下属企业机关“挖矿”及安全威胁态势的感知能力。长扬科技安全态势感知团队提出针对“挖矿”治理的垂直监管解决方案:
总部机构部署长扬科技态势感知平台,同下属机关单位的态势感知平台分布式对接,使其信息网生产网数据信息同总部实时同步,以“挖矿”流量数据、网络安全数据、新基建关键基础设施行业数据为基础,以资产指纹、漏洞信息、威胁情报、网络模型等海量数据为资源支撑,运用大数据、人工智能及云技术,帮助中心机构精准识别网络威胁,提升风险评估、态势感知、监测预警及智能运营一体化的能力。
3 成果分享
3.1 精准定位全面检测,精确拦截闭环处置
长扬科技态势感知团队通过分布式部署的主机探针+采集器手段,快速定位发现网络中不同区域不同IP段和不同中毒症状的IP。
3.2 针对非法外联的闭环处置
通过集成多种拦截策略、特征库及威胁情报反馈的防火墙、IPS/IDS设备,针对内部网络终端或者服务器的外联行为进行识别和拦截,设定允许终端或者服务器外联的地址、外联地址的服务及端口来定义正常外联行为,定义的正常外联行为之外的所有外联行为全部作为非法外联。
防火墙功能截图
4 客户价值
长扬科技安全团队针对虚拟货币“挖矿”活动提出全面检测、闭环处置和立体防护的三位一体解决方案,为用户提供信息网+工控网的全网精准定位的有效检测方式,通过安全防护设备快速响应并处置网络中的潜在威胁,配合具备丰富安全保障经验的运维团队提供724小时的监测预警,为客户的网络安全保驾护航,做到真正意义上的立体防护。