高校如何打赢挖礦“清零攻堅戰”,構建四大(dà)能力體(tǐ)系不可少

2021年，虛拟貨币作爲“挖礦”世界裏的“大(dà)紅人”，價格一(yī)度創下(xià)曆史新高（諸如比特币69000美元/枚，約438515元人民币/枚）。高昂的利潤催生(shēng)了聲勢浩大(dà)的“挖礦”大(dà)軍加入這場充滿誘惑的所謂造富神話(huà)，“挖礦”病毒也成爲全球不法分(fēn)子利用最頻(pín)繁的攻擊方式之一(yī)，國内的情況也不容樂觀。其中(zhōng)，不少高校也成爲了不法分(fēn)子實現所謂“财富夢想”的重要攻擊對象。

教育行業成“挖礦”木馬優先攻擊對象

江蘇省通信管理局曾指出，從IP地址歸屬和性質看，歸屬黨政機關、高校、企業的IP被入侵利用開(kāi)展虛拟貨币“挖礦”行爲的占比約21%；深信服發布的《2019年網絡安全态勢報告》也顯示，教育在“挖礦”木馬優先攻擊的行業中(zhōng)排名第三。

本該是一(yī)片淨土的象牙塔，爲何成了不法“挖礦”分(fēn)子眼中(zhōng)的香饽饽？一(yī)方面，高校數據中(zhōng)心、二級學院重點實驗室（科研）、超算中(zhōng)心中(zhōng)存放(fàng)着大(dà)量高性能的服務器、雲主機和虛拟主機；另一(yī)方面，教育、教學及管理終端數量巨大(dà)，通過局域網即可實現快速的橫向感染傳播；此外(wài)，師生(shēng)等個人網絡安全防護意識相對薄弱。特别是那些擁有一(yī)定規模數據中(zhōng)心、具備海量計算資(zī)源的高職高校往往成爲“挖礦”的目标。

惡意黑客利用智慧校園業務對外(wài)暴露的端口、應用、系統中(zhōng)存在的高危漏洞、弱口令等問題入侵主機，獲得主機控制權限，并植入“挖礦”程序；利用部分(fēn)校園網用戶安全意識淡薄的特點，采用釣魚郵件、惡意鏈接、訪問網頁挂馬、下(xià)載捆綁病毒的注冊機破解軟件等手段，在師生(shēng)毫不知(zhī)情的情況下(xià)完成入侵；狡猾的黑客還有意在夜深人靜時啓動“挖礦”，使得白(bái)天上班的運維人員(yuán)難以察覺；或者通過隐蔽的傳輸通道如DNS隐蔽隧道來隐藏或控制“挖礦”行爲，這樣一(yī)來“挖礦”病毒潛伏時間更長，攻擊頻(pín)率更低，更難以被安全設備監測處置。

一(yī)旦被“挖礦”病毒入侵，學校将遭受一(yī)系列的危害。除了電(diàn)力能耗增大(dà)、設備老化加速，經濟損失嚴重；黑客還會留下(xià)後門惡意竊取機密信息，直接引發或變相滋生(shēng)各種網絡犯罪……高校亟需補齊“挖礦”治理的基本能力，制定高效治理方案。

深信服助力高校構建“挖礦”清零治理四大(dà)能力體(tǐ)系

深信服認爲，高校“挖礦”治理需要重視排查、封堵、處置、運營四大(dà)環節，用戶安全能力的構建也應由此下(xià)手。

1. 構建準确、全面的“挖礦”排查能力

挖礦币種、協議與礦池地址快速叠代，新型币種“挖礦”通訊過程天然自帶加密信息等因素導緻“挖礦”檢測難度增大(dà)。針對不同類型的“挖礦”方式，需要構建差異化的分(fēn)析算法，匹配更全面的情報能力。

對于加密“挖礦”，深信服首推利用AI模型作爲分(fēn)析算法的核心解決方案，通過提取“挖礦”流量的時空特征建立預測模型。該模型算法檢出率較高，且誤報率低于2%。

而在應對币種信息的不斷叠代上，深信服首度将對全網40億IP主動探測的威脅情報技術應用在實時監控全網IP中(zhōng)的新增礦池信息上。

2. 構建自動化、閉環的挖礦封堵、處置能力

針對高校數據中(zhōng)心區終端：深信服通過安全感知(zhī)管理平台SIP聯動全網安全設備，基于邊界流量、終端行爲等多源維度捕捉“挖礦”行爲；在發現後，通過自動化劇本，實現下(xià)一(yī)代防火(huǒ)牆AF流量阻斷隔離(lí)、終端安全管理平台EDR關閉端口等自動化隔離(lí)，避免橫向擴散；對于頑固病毒和深層“挖礦”行爲，深信服還可派出安服專家進行現場處置閉環。

挖礦行爲治理整體(tǐ)邏輯

針對教學、辦公區終端：在獲得“挖礦”IP後，深信服可通過流量探針進行交換機表項讀取，跨三層獲取帶時間戳的MAC信息；結合帶時間戳的MAC、IP信息即可輕易定位終端情況。同時，深信服安全感知(zhī)管理平台SIP還支持與常見校園認證系統的對接，與MAC/IP/時間等内容比對後，獲得“挖礦”用戶的實名信息，結合學校管理要求，可輕易實現“挖礦”終端訪問的阻斷或上網賬号凍結。

3. 構建全流程、雲地協同的挖礦運營能力

深信服安全感知(zhī)管理平台SIP具備強大(dà)的工(gōng)單能力，支持打通校園網絡辦事大(dà)廳，與學校各部門體(tǐ)系人員(yuán)形成有效的閉環處置流程，并通過工(gōng)單系統閉環每個挖礦行爲。同時，可基于需要配套本地、雲端安全專家協助處置。

此外(wài)，深信服還可以提供基于“挖礦”的SPA專家分(fēn)析服務。安服專家借助深信服安全感知(zhī)管理平台強大(dà)的安全檢測能力，結合專家現場的自主發現，對安全流量日志(zhì)進行“外(wài)部威脅識别、内部脆弱性問題深挖、内網安全事件判斷和安全有效性”分(fēn)析研判。面對面彙報與解讀研判結果，幫助教育用戶盡早發現關鍵風險問題，并通過提供可落地的修複處置建議和指導，推動用戶全面提升安全健康度，實現“實時清零”。

目前，深信服已經具備豐富、強大(dà)的工(gōng)具檢測能力和安全經驗，擁有完善的挖礦全流程構建能力；基于自動化劇本，可實現多設備聯動封堵，有效降低教育用戶被通報概率，提升挖礦運維便捷度；同時，基于安全運營的“挖礦”病毒事件全流程主動響應，支持按次、按時長等靈活指标進行服務化交付，幫助用戶快速、輕量化獲得全生(shēng)命周期的挖礦事件防禦能力。

可以預見，在各界的共同努力下(xià)，教育行業用戶将一(yī)起打赢這場“清零攻堅戰”。深信服也将不辱使命，通過創新産品、解決方案與服務，精準狙擊“挖礦”病毒，還校園一(yī)片安全、美麗的藍(lán)天。