校园网用户数量大、接入端口多,具有一定的隐藏便利性,极易成为挖矿木马攻击的对象,许多高校深受其害。与此同时,网信办等多部门在9月份联合发布《关于整治虚拟货币“挖矿”的通知》,对虚拟货币“挖矿”活动监管升级。锐捷深入洞察高校校园网络场景,如何不让校园变“矿场”,保护校园网络的安全,锐捷给出了“网络+安全”的解决方案。
什么是挖矿木马?它会给校园带来什么危害?
通过大量计算机的运算获取虚拟货币被称为“挖矿”,而在受害者不知情的情况下,非法在其电脑里植入的挖矿程序称为挖矿木马。挖矿木马会严重占据主机算力资源,干扰正常业务运行。同时消耗大量电力,与当前的能源战略、碳中和战略背道而驰。甚至有高校被挖矿木马入侵招生网站,严重影响正常工作开展。多家高校因对校园挖矿监管不到位而被通报批评。
其实在挖矿木马爆发趋势显现之初,许多高校就开始了防范的探索,但当下仍然遇到了难题:
第一, 已经建有防火墙却形同虚设。一方面一些防火墙开启防病毒后性能大幅下降,无法满足防护要求。另一方面,一些防火墙防护手段不完善,依然踩了通报“高压线”。
第二, IP告警溯源困难。校园网多为DHCP环境,目前防火墙多基于IP告警,需要运维老师查询多个日志才能进行溯源。高校学生数量众多,运维老师往往只有几人,面对大量告警的实时处理难免力有不逮。
第三,无法抑制病毒横向扩散。挖矿木马的防治和疫情的防控是相似的:除了避免外来的传染源,内部有了传播苗头也要及时切断,才能将危害降到最低。只通过出口拦截的方式无法彻底治理病毒。
那么,高校如何全面排查整治虚拟货币“挖矿”活动,营造安全有序的校园网络环境?锐捷结合高教场景特点,给出了自己的解法:发掘网络设备安全能力,联动安全设备从整体架构解决挖矿难题。
高校木马防护方案整体架构
高校木马防护方案整体介绍
1.无忧防通报,不踩“高压线”
锐捷防挖矿木马方案出口部署锐捷防火墙,同时核心交换机旁挂流量探针。联动腾讯云安全平台,采用流量检测技术精准识别挖矿木马。
挖矿木马入侵的常规步骤是先发起挖矿相关的DNS域名申请,然后根据DNS返回的IP,发起到矿池的登录和交互。传统的方案需要首先检测域名,然后针对后续的IP通讯进行阻断。虽然也起到阻隔挖矿的效果,但是由于放行DNS解析过程,容易被监管部门监测系统识别、通报。
锐捷与腾讯云安全联动,将挖矿DNS域名一网打尽,主机一旦发起对挖矿域名的申请,态势感知与防火墙立刻就能将其隔断,直接阻止其解析过程,避免被通告。同时流量探针对流量进行深度识别,哪怕挖矿木马更隐蔽,直接在主机里写IP也不用担心,流量探针的识别库可以根据钱包字段、秘钥交互等挖矿的特征行为将其精准识别,全面封堵挖矿病毒。
威胁情报和腾讯云安全联动
2精准定位学号,解放运维老师
在将挖矿木马的DNS拦截后,需要对其进行治理,被通报的则要举证完整的证据链。锐捷采用防火墙与态势感知(BDS)和身份认证(SAM)联动的架构,将SAM中学生/老师的账号、IP、时间信息与防火墙等安全设备中的告警、IP、时间信息在BDS中进行匹配,可以轻松得出包括学号、时间和具体告警信息的完整的溯源。
这样可以统一时间集中溯源和处理挖矿主机,显著提升了运维效率。且解决方案定位的不是IP地址而是学号,运维老师可以直接通过学号联系到需要进行杀毒操作的老师和同学,规避了DHCP环境下无法精准定位人员的问题。
BDS联动SAM+实名定位到账号
3.阻断横向扩散,遏制内部传播
对于挖矿木马的整治,防通报只是一方面,形成有效的治理体系才是关键。目前业界大部分方案都是在网络边界部署安全设备,这样无法阻止病毒在内部传播。部分挖矿木马还具备蠕虫化的特点,可以渗透内网,严重威胁服务器安全。
锐捷态势感知实现与交换机联动,通过收集交换机Sflow采样,实现全校东西向挖矿流量的识别阻断。在态势感知平台识别感染主机后,同时下发策略给交换机,在端口将中毒主机下线,阻断挖矿木马内部的横向病毒复制,挖矿整治更加彻底。
BDS下发策略给交换机,阻断横向扩散
锐捷深耕教育行业,深入洞察校园网络应用与监管场景。针对高校的防挖矿场景,以校园网整体架构出发,充分发掘现有网络设备安全能力,通过出口封堵,实名溯源,内部阻断等三重手段,实现挖矿病毒的快速发现和阻断、准确定位、避免传播,为清朗安全的校园网络环境保驾护航。