卓豪官网 卓豪旗下IT运维管理软件和解决方案
  • 400-660-8680
 
 
应用性能管理(APM)
保证物理、虚拟、云环境的应用性能
 
 
IT运维外包服务工具
多租户模式,为您的客户提供更好的服务
IT运维管理平台
统一监控、集中运维

利用事件日志关联分析阻止“加密攻击”


在网络安全系列的前几篇文章中,我们讨论了高级持续威胁和数据泄露,强调了当今时代数据安全的重要性。 本系列的最后一篇文章中,我们将讨论加密攻击,一种可能严重影响网络完整性的攻击,以及如何通过事件关联来对抗它。

公司的数据并不是它为寻找发薪日的黑客提供的唯一有价值的东西。世界各地的组织网络都有一些黑客可以控制的基本网络:纯粹的计算能力。 加密攻击,未经授权使用计算资源来挖掘加密货币,利用了这种能力。虽然这种类型的攻击可以针对任何设备,包括个人,移动和物联网设备,但由于其强大的计算能力,对其而言,企业网络最具吸引力。

加密攻击现在比勒索软件更受欢迎

对加密货币的兴趣只会不断上升,每个黑客都在寻找获取或挖掘它的方法。直到2017年,勒索软件攻击才是攻击者增加数字货币存储的最常用方法。然而,由于成本较低,风险较低以及稳定,有保障的回报,今年的加密攻击很快变得越来越受欢迎。

网络威胁联盟的一份报告指出,加密劫持攻击比去年增加了459%。对于有经济动机的攻击者来说,这种诱惑是可以理解的:当你可以直接挖掘加密货币时,为什么以赎金的形式出售或持有数据以换取加密货币?

加密攻击是怎么达到目的的?

加密攻击攻击最常用于Monero,一种比比特币提供更多匿名性的加密货币。加密劫持有两种主要方式:

加密劫持恶意软件:未经授权的加密恶意软件将通过恶意电子邮件附件或链接,易受攻击的应用程序或系统,远程黑客或任何常用的交付机制传送到您的网络系统。这种恶意软件极有可能被忽视,因为它在后台运行而没有任何通常的外部危害指示。

浏览器内加密:网站和广告中嵌入了加密代码,可以利用访问者系统的处理能力。如果您的员工无意中访问了受感染或恶意的站点,他们的系统将从事采矿活动。 Coinhive是一种在2017年底推出的Web服务,它创建了一个这样的JavaScript代码,旨在以合法的方式使用。然而,它被更多的网络犯罪分子使用,而不是值得信赖的网站管理员,并最终成为这种形式的加密劫持大量飙升的原因。

为什么你应该注意加密攻击?

成为加密劫持的受害者对您的业务没有任何直接和明显的影响。没有数据受到损害,也没有法律或合规性问题需要处理。然而,它有几个间接和隐藏的成本,当它们在很长一段时间内组合在一起时,会给你的公司带来灾难:

较慢的系统:从事后台挖掘活动的系统可能变得极其缓慢,导致常规业务通信和活动中出现意外延迟。

业务连续性的丧失:随着CPU周期越来越多地用于挖掘操作,加密劫持甚至可能导致应用程序和硬件崩溃的增加,从而破坏业务连续性。

更高的电力成本:复杂的计算会消耗更多的电力,导致不必要的电费增加。

简而言之,您的网络基础架构支持大部分业务运营,当它未以最大容量运行时,您的业务将受到影响。

用事件相关性检测加密劫持
如前所述,加密攻击没有任何明显的妥协指标。识别受感染机器的最简单方法是减速或加热。事件关联可以帮助您整理日志,网络性能信息以及检测加密攻击。

一些相关的相关功能包括:

检测未经授权的软件安装

检测已知的加密货币挖掘或钱包软件

检测CPU使用率异常高峰

检测风扇速度异常

Log360是我们全面的SIEM解决方案,配备了强大的相关模块,其中包含预定义的规则,可帮助您检测上述所有内容。该解决方案可以从我们的网络监控解决方案OpManager中提取性能数据,并将其与您的日志信息相关联,以便为您提供相关的事件警报。您甚至可以自定义规则或构建适合您的网络环境的新规则。

收缩