• 案例中心

      案例中心  >  高校如何打赢挖矿“清零攻坚战”,,,,构建四大能力体系不可少
      高校如何打赢挖矿“清零攻坚战”,,,,构建四大能力体系不可少
      背景图 2022-12-08 10:34:13

      2021年,,,,虚拟货币作为“挖矿”世界里的“大红人”,,,价格一度创下历史新高(诸如比特币69000美元/枚,,,,约438515元人民币/枚)。。高昂的利润催生了声势浩大的“挖矿”大军加入这场充满诱惑的所谓造富神话,,,“挖矿”病毒也成为全球不法分子利用最频繁的攻击方式之一,,,,国内的情况也不容乐观。。。。其中,,,不少高校也成为了不法分子实现所谓“财富梦想”的重要攻击对象。。


      教育行业成“挖矿”木马优先攻击对象


      江苏省通信管理局曾指出,,从IP地址归属和性质看,,,归属党政机关、、高校、、企业的IP被入侵利用开展虚拟货币“挖矿”行为的占比约21%;老哥网发布的《2019年网络安全态势报告》也显示,,,,教育在“挖矿”木马优先攻击的行业中排名第三。。


      本该是一片净土的象牙塔,,为何成了不法“挖矿”分子眼中的香饽饽???一方面,,高校数据中心、、、二级学院重点实验室(科研)、、、超算中心中存放着大量高性能的服务器、、、、云主机和虚拟主机;另一方面,,,教育、、、、教学及管理终端数量巨大,,,通过局域网即可实现快速的横向感染传播;此外,,,师生等个人网络安全防护意识相对薄弱。。。特别是那些拥有一定规模数据中心、、、具备海量计算资源的高职高校往往成为“挖矿”的首选目标。。。。


      恶意黑客利用智慧校园业务对外暴露的端口、、应用、、系统中存在的高危漏洞、、、、弱口令等问题入侵主机,,获得主机控制权限,,,,并植入“挖矿”程序;利用部分校园网用户安全意识淡薄的特点,,,采用钓鱼邮件、、恶意链接、、访问网页挂马、、下载捆绑病毒的注册机破解软件等手段,,在师生毫不知情的情况下完成入侵;狡猾的黑客还有意在夜深人静时启动“挖矿”,,,,使得白天上班的运维人员难以察觉;或者通过隐蔽的传输通道如DNS隐蔽隧道来隐藏或控制“挖矿”行为,,,这样一来“挖矿”病毒潜伏时间更长,,,攻击频率更低,,更难以被安全设备监测处置。。。


      一旦被“挖矿”病毒入侵,,,学校将遭受一系列的危害。。除了电力能耗增大、、、设备老化加速,,,经济损失严重;黑客还会留下后门恶意窃取机密信息,,,直接引发或变相滋生各种网络犯罪……高校亟需补齐“挖矿”治理的基本能力,,,,制定高效治理方案。。。。


      老哥网助力高校构建“挖矿”清零治理四大能力体系


      老哥网认为,,高校“挖矿”治理需要重视排查、、、封堵、、处置、、运营四大环节,,,,用户安全能力的构建也应由此下手。。。。


      1. 构建准确、、、、全面的“挖矿”排查能力


      挖矿币种、、协议与矿池地址快速迭代,,,,新型币种“挖矿”通讯过程天然自带加密信息等因素导致“挖矿”检测难度增大。。。。针对不同类型的“挖矿”方式,,,需要构建差异化的分析算法,,,匹配更全面的情报能力。。。。

      对于加密“挖矿”,,老哥网首推利用AI模型作为分析算法的核心解决方案,,通过提取“挖矿”流量的时空特征建立预测模型。。该模型算法检出率较高,,且误报率低于2%。。

      而在应对币种信息的不断迭代上,,老哥网首度将对全网40亿IP主动探测的威胁情报技术应用在实时监控全网IP中的新增矿池信息上。。

      2. 构建自动化、、、闭环的挖矿封堵、、、、处置能力


      针对高校数据中心区终端:老哥网通过安全感知管理平台SIP联动全网安全设备,,基于边界流量、、终端行为等多源维度捕捉“挖矿”行为;在发现后,,通过自动化剧本,,,实现下一代防火墙AF流量阻断隔离、、、、终端安全管理平台EDR关闭端口等自动化隔离,,,,避免横向扩散;对于顽固病毒和深层“挖矿”行为,,老哥网还可派出安服专家进行现场处置闭环。。。

      挖矿行为治理整体逻辑


      针对教学、、、办公区终端:在获得“挖矿”IP后,,老哥网可通过流量探针进行交换机表项读取,,,,跨三层获取带时间戳的MAC信息;结合带时间戳的MAC、、、、IP信息即可轻易定位终端情况。。。同时,,,老哥网安全感知管理平台SIP还支持与常见校园认证系统的对接,,,,与MAC/IP/时间等内容比对后,,获得“挖矿”用户的实名信息,,,结合学校管理要求,,,可轻易实现“挖矿”终端访问的阻断或上网账号冻结。。

      3. 构建全流程、、、、云地协同的挖矿运营能力


      老哥网安全感知管理平台SIP具备强大的工单能力,,,,支持打通校园网络办事大厅,,,,与学校各部门体系人员形成有效的闭环处置流程,,并通过工单系统闭环每个挖矿行为。。。。同时,,,,可基于需要配套本地、、、云端安全专家协助处置。。


      此外,,老哥网还可以提供基于“挖矿”的SPA专家分析服务。。。安服专家借助老哥网安全感知管理平台强大的安全检测能力,,,,结合专家现场的自主发现,,对安全流量日志进行“外部威胁识别、、、、内部脆弱性问题深挖、、、、内网安全事件判断和安全有效性”分析研判。。面对面汇报与解读研判结果,,,帮助教育用户尽早发现关键风险问题,,,并通过提供可落地的修复处置建议和指导,,,,推动用户全面提升安全健康度,,,实现“实时清零”。。

      目前,,,老哥网已经具备丰富、、、、强大的工具检测能力和安全经验,,,,拥有完善的挖矿全流程构建能力;基于自动化剧本,,,可实现多设备联动封堵,,有效降低教育用户被通报概率,,提升挖矿运维便捷度;同时,,基于安全运营的“挖矿”病毒事件全流程主动响应,,,支持按次、、、、按时长等灵活指标进行服务化交付,,,帮助用户快速、、、轻量化获得全生命周期的挖矿事件防御能力。。。。


      可以预见,,在各界的共同努力下,,,教育行业用户将一起打赢这场“清零攻坚战”。。老哥网也将不辱使命,,通过创新产品、、、解决方案与服务,,,精准狙击“挖矿”病毒,,,还校园一片安全、、、、美丽的蓝天。。

      站点地图