发布源:深圳维创信息技术发布时间:2020-09-16 浏览次数: 次
随着虚拟货币市场的疯狂炒作,挖矿已经成为一种额外的经济来源,越来越多的人参与其中。
从2019年安全态势来看,攻击者将企业、政府和教育行业作为挖矿的主要目标,通过弱口令爆破、社会工程和钓鱼等方式对计算机进行攻击,利用他人计算机CPU和GPU的计算能力挖取虚拟货币获利,导致计算资源被耗尽严重影响本地服务正常使用。
这一来不但影响自己办公电脑的使用,更因为计算机的超负荷运算减短硬件的使用寿命,那我们如何防止自己的设备变成他人的免费矿工呢?诚然良好的电脑或者手机的使用习惯,不访问或者点击非法链接或者自己不了解的视频、文件、图片等等,这些可以有效避免自己设备被钓鱼木马植入。
我们利用现有的安全技术去做根本上的防范安全界有句话“世界上只有两种系统,一种是已知被攻破的系统,一种是已经被攻破但自己还不知道的系统”,如何阻止网络攻击是每个安全从业者的职责。
目前业界普遍认可纵深防御的理念开展网络安全防护工作,通过访问控制FW和网络技术进行安全域隔离,生产与非生产隔离;身份认证IAM进行权限管理、运维审计、双因素认证等;应用防火墙WAF和RASP等技术对应用侧威胁检测与阻断;网络入侵监测防御系统NIDPS对威胁进行识别与阻断;APT检测系统在流量侧进行风险预警;服务器侧威胁检测系统HIDS/EDR对服务器资产、安全配置、运行服务和webshell等情况进行排查;日志管理系统SIEM汇总收集各类型日志,通过场景化日志识别风险并告警;数据库审计系统检测异常访问、数据获取与系统运维行为;安全运营中心SOC对各类安全产品进行汇总,借助统计分析、机器学习等方式对告警进行聚合,进行精准告警并联动阻断;通过众多安全产品开展递进式、多维式的防御,经过安全人员的不断运营起到了良好的防御效果。
但是,这一套系统的投入对于企业来说不可忽视,考虑到ROI问题,通常在非生产环境的安全投入是指数级下降。
这里建议,如果企业在非生产环境有互联网服务,一定要尽可能的与生产保持一致的防护水平,如果预算不足,至少在如下几点做好管控:1)做好资产管理所有IP资产责任到人,互联网服务责任到人。
至少每半年复核1次,这样安全管理员能够确定资产使用情况,责任人能够了解有人在进行监督,杜绝出现无人认领的资产。
2)严格访问控制对于提供互联网服务和访问互联网服务的服务器建议单独设置安全域,严格控制出向访问,建议互联网服务双向进行点对点控制。
3)不在互联网开放高危端口严禁在互联网开放21、22、23、44、1433、3389、3306、6379、60000、11211等端口,如必须开放,建议通过VPN方式接入,其中ssh建议改为密钥登录。
4)做好口令管理严禁任何服务的任何账户使用空口令、默认口令、简单口令,在技术支持的基础上应强制设置高复杂度口令。
5)坚持漏洞管理系统被入侵很大原因是漏洞没有及时修复,像今天还有企业存在“永恒之蓝”、“Struts2”旧版本漏洞,在业务系统具备高可用机制的情况下,应采取“积极”的态度进行漏洞修复,也就是及时漏洞修复真的影响了1台服务器,系统架构具有高可用机制,具备回退窗口,依旧不会对系统造成影响。
6)采集异常日志对操作系统、数据库、应用登录等敏感日志进行日志采集,针对短时高频失败、短时跨地域、单账号多地同时在线等敏感场景进行捕捉告警。
6、重视“人”的因素不论是资产的管理还是防护工作的管理都会归集的对“人”的管理,只有将安全意识深入人心,安全的短板才会真正补齐。
7)落实安全体系安全工作是一项综合工作,如何“有效”且“全面”的开展,应该在“网安法”和“等级保护2.0”的基础上开展制度体系建设,通过“制度”指引“人”对“资产”开展“防护”工作。
8)争取预算安全工作讲究“感知力”(及监测能力),纵深防御每个阶段都有不同的监测与防御能力,单一产品不可能具有“全面”的监测能力,要想做到安全的全面防护,需要企业持续的进行人才培养和资金投入。
Copyright © 2021 深圳市维创信息技术有限公司 版权所有