随着虚拟货币和区块链市场的爆炸式发展,通过挖矿恶意软件掘金已经成了全球黑客的第一“爱好”,挖矿恶意软件如今无孔不入,防不胜防,包括星巴克、苹果Mac应用商店、某品牌路由器、海盗湾网站甚至某化工厂工控系统,已经有大量网站和企业用户深受其害。
最近,Secureworks在虚拟货币挖矿恶意软件分析报告中给出了企业防御挖矿攻击的十九大安全措施建议和相关流程(上图):
预防性措施:
1.在外部可访问服务上部署双因子认证(2FA)。
2.部署web应用防火墙或者web内容过滤。
3.用户安全意识培训
4.管理用户账号权限,遵从系统和应用账户权限最小化原则,限制授权用户对管理员级别权限的访问。
5.关闭非必要端口或服务,包括SMBv1这样的内网协议。
6.实施漏洞/渗透测试流程
7.实施密码管理系统,对于WIndows系统,考虑部署类似微软LAPS(本地管理员密码解决方案)的方案,简化和加强密码管理。
8.加强软件的及时升级/补丁
9.部署牢固的密码管理系统
10.审查安全架构
11.在安全控制中增加威胁情报
12配置现有的安全控制
侦测措施:
13.部署端点安全技术
14.部署部署网络安全方案(SIEM、IDS/IPS),如果可能,部署相关端点和网络安全技术。
15.审查日志、警报,以及集中化的日志来侦测、限制并捕捉恶意行为。对出口网络流量进行监控,尤其是非标准端口的未加密流量数据,有助于发现虚拟货币挖矿行为。
16.部署/升级防病毒技术
响应措施:
17.开发和集中化的部署日志系统
18.开发或实践事件响应计划
19.加强备份