江蘇省通信管理局曾指出，從IP地址歸屬和性質(zhì)看，歸屬黨政機(jī)關(guān)、高校、企業(yè)的IP被入侵利用開展虛擬貨幣“挖礦”行為的占比約21%；深信服發(fā)布的《2019年網(wǎng)絡(luò)安全態(tài)勢(shì)報(bào)告》也顯示，教育在“挖礦”木馬優(yōu)先攻擊的行業(yè)中排名第三。

　　本該是一片凈土的象牙塔，為何成了不法“挖礦”分子眼中的香餑餑？一方面，高校數(shù)據(jù)中心、二級(jí)學(xué)院重點(diǎn)實(shí)驗(yàn)室（科研）、超算中心中存放著大量高性能的服務(wù)器、云主機(jī)和虛擬主機(jī)；另一方面，教育、教學(xué)及管理終端數(shù)量巨大，通過(guò)局域網(wǎng)即可實(shí)現(xiàn)快速的橫向感染傳播；此外，師生等個(gè)人網(wǎng)絡(luò)安全防護(hù)意識(shí)相對(duì)薄弱。特別是那些擁有一定規(guī)模數(shù)據(jù)中心、具備海量計(jì)算資源的高職高校往往成為“挖礦”的首選目標(biāo)。

　　惡意黑客利用智慧校園業(yè)務(wù)對(duì)外暴露的端口、應(yīng)用、系統(tǒng)中存在的高危漏洞、弱口令等問(wèn)題入侵主機(jī)，獲得主機(jī)控制權(quán)限，并植入“挖礦”程序；利用部分校園網(wǎng)用戶安全意識(shí)淡薄的特點(diǎn)，采用釣魚郵件、惡意鏈接、訪問(wèn)網(wǎng)頁(yè)掛馬、下載捆綁病毒的注冊(cè)機(jī)破解軟件等手段，在師生毫不知情的情況下完成入侵；狡猾的黑客還有意在夜深人靜時(shí)啟動(dòng)“挖礦”，使得白天上班的運(yùn)維人員難以察覺(jué)；或者通過(guò)隱蔽的傳輸通道如DNS隱蔽隧道來(lái)隱藏或控制“挖礦”行為，這樣一來(lái)“挖礦”病毒潛伏時(shí)間更長(zhǎng)，攻擊頻率更低，更難以被安全設(shè)備監(jiān)測(cè)處置。

　　一旦被“挖礦”病毒入侵，學(xué)校將遭受一系列的危害。除了電力能耗增大、設(shè)備老化加速，經(jīng)濟(jì)損失嚴(yán)重；黑客還會(huì)留下后門惡意竊取機(jī)密信息，直接引發(fā)或變相滋生各種網(wǎng)絡(luò)犯罪……高校亟需補(bǔ)齊“挖礦”治理的基本能力，制定高效治理方案。

　　深信服認(rèn)為，高校“挖礦”治理需要重視排查、封堵、處置、運(yùn)營(yíng)四大環(huán)節(jié)，用戶安全能力的構(gòu)建也應(yīng)由此下手。

　　挖礦幣種、協(xié)議與礦池地址快速迭代，新型幣種“挖礦”通訊過(guò)程天然自帶加密信息等因素導(dǎo)致“挖礦”檢測(cè)難度增大。針對(duì)不同類型的“挖礦”方式，需要構(gòu)建差異化的分析算法，匹配更全面的情報(bào)能力。

　　對(duì)于加密“挖礦”，深信服首推利用AI模型作為分析算法的核心解決方案，通過(guò)提取“挖礦”流量的時(shí)空特征建立預(yù)測(cè)模型。該模型算法檢出率較高，且誤報(bào)率低于2%。

　　而在應(yīng)對(duì)幣種信息的不斷迭代上，深信服首度將對(duì)全網(wǎng)40億IP主動(dòng)探測(cè)的威脅情報(bào)技術(shù)應(yīng)用在實(shí)時(shí)監(jiān)控全網(wǎng)IP中的新增礦池信息上。

　　針對(duì)高校數(shù)據(jù)中心區(qū)終端：深信服通過(guò)安全感知管理平臺(tái)SIP聯(lián)動(dòng)全網(wǎng)安全設(shè)備，基于邊界流量、終端行為等多源維度捕捉“挖礦”行為；在發(fā)現(xiàn)后，通過(guò)自動(dòng)化劇本，實(shí)現(xiàn)下一代防火墻AF流量阻斷隔離、終端安全管理平臺(tái)EDR關(guān)閉端口等自動(dòng)化隔離，避免橫向擴(kuò)散；對(duì)于頑固病毒和深層“挖礦”行為，深信服還可派出安服專家進(jìn)行現(xiàn)場(chǎng)處置閉環(huán)。

　　針對(duì)教學(xué)、辦公區(qū)終端：在獲得“挖礦”IP后，深信服可通過(guò)流量探針進(jìn)行交換機(jī)表項(xiàng)讀取，跨三層獲取帶時(shí)間戳的MAC信息；結(jié)合帶時(shí)間戳的MAC、IP信息即可輕易定位終端情況。同時(shí)，深信服安全感知管理平臺(tái)SIP還支持與常見校園認(rèn)證系統(tǒng)的對(duì)接，與MAC/IP/時(shí)間等內(nèi)容比對(duì)后，獲得“挖礦”用戶的實(shí)名信息，結(jié)合學(xué)校管理要求，可輕易實(shí)現(xiàn)“挖礦”終端訪問(wèn)的阻斷或上網(wǎng)賬號(hào)凍結(jié)。

　　深信服安全感知管理平臺(tái)SIP具備強(qiáng)大的工單能力，支持打通校園網(wǎng)絡(luò)辦事大廳，與學(xué)校各部門體系人員形成有效的閉環(huán)處置流程，并通過(guò)工單系統(tǒng)閉環(huán)每個(gè)挖礦行為。同時(shí)，可基于需要配套本地、云端安全專家協(xié)助處置。

　　此外，深信服還可以提供基于“挖礦”的SPA專家分析服務(wù)。安服專家借助深信服安全感知管理平臺(tái)強(qiáng)大的安全檢測(cè)能力，結(jié)合專家現(xiàn)場(chǎng)的自主發(fā)現(xiàn)，對(duì)安全流量日志進(jìn)行“外部威脅識(shí)別、內(nèi)部脆弱性問(wèn)題深挖、內(nèi)網(wǎng)安全事件判斷和安全有效性”分析研判。面對(duì)面匯報(bào)與解讀研判結(jié)果，幫助教育用戶盡早發(fā)現(xiàn)關(guān)鍵風(fēng)險(xiǎn)問(wèn)題，并通過(guò)提供可落地的修復(fù)處置建議和指導(dǎo)，推動(dòng)用戶全面提升安全健康度，實(shí)現(xiàn)“實(shí)時(shí)清零”。

　　目前，深信服已經(jīng)具備豐富、強(qiáng)大的工具檢測(cè)能力和安全經(jīng)驗(yàn)，擁有完善的挖礦全流程構(gòu)建能力；基于自動(dòng)化劇本，可實(shí)現(xiàn)多設(shè)備聯(lián)動(dòng)封堵，有效降低教育用戶被通報(bào)概率，提升挖礦運(yùn)維便捷度；同時(shí)，基于安全運(yùn)營(yíng)的“挖礦”病毒事件全流程主動(dòng)響應(yīng)，支持按次、按時(shí)長(zhǎng)等靈活指標(biāo)進(jìn)行服務(wù)化交付，幫助用戶快速、輕量化獲得全生命周期的挖礦事件防御能力。

　　可以預(yù)見，在各界的共同努力下，教育行業(yè)用戶將一起打贏這場(chǎng)“清零攻堅(jiān)戰(zhàn)”。深信服也將不辱使命，通過(guò)創(chuàng)新產(chǎn)品、解決方案與服務(wù)，精準(zhǔn)狙擊“挖礦”病毒，還校園一片安全、美麗的藍(lán)天。來(lái)源：深信服公眾微信號(hào)