Анастасия Фетисова
196
Блоги

Как защитить свой бизнес от майнинга?

Руководитель направления информационной безопасности компании КРОК Андрей Заикин рассказывает о способах защиты от майнинга на корпоративных ресурсах.

Поделиться

В избранное

В избранном

Последние несколько месяцев СМИ и соцсети то и дело подкидывают новости про майнинг с использованием корпоративных, а иногда и государственных ресурсов. С последними, кстати, совсем недавно злоумышленники знатно провалились, заработав всего 24 доллара.

Однако в ряде случаев в ходе атак на корпоративные ресурсы с целью майнинга заметно замедляется работа серверов компании и ключевых бизнес-приложений, что может в итоге неплохо «ударить» по выручке.

Всегда ли майнинг – это плохо?

Конечно, я не беру в расчет майнинг, когда пользователь зарабатывает деньги за счет того, что использует мощности собственного оборудования. При этом возможны различные варианты, в частности установка на компьютер специализированного ПО, или можно майнить прямо в веб-браузере.

Еще один доступный вариант – использовать специальные программно-определяемые процессоры. Они стоят дороже стандартного компьютера, но и окупаются быстрее.

Зачем я все это рассказываю, если речь идет о защите от майнинга? А затем, что злоумышленники научились неплохо использовать легитимные методы майнинга в своих целях. Цель этой статьи показать возможные сценарии «атак» и способы защиты, которые мы не раз опробовали на себе и своих заказчиках.

Скрытый майнинг: пути и схемы

Раз уж я упомянул веб-браузеры, продолжу про них. Через веб-браузер злоумышленники могут майнить криптовалюту без вашего ведома. Сейчас от такой схемы стараются защищаться с помощью интернет-сервисов. Провайдер связи показывает, что замечена вредоносная активность. Если же на сайте никаких предупреждений нет – это прямая дорога к блокировке такого ресурса.

Кстати, подобные случаи уже есть – популярный CDN-провайдер Cloudflare блокирует сайты, которые используют коды для майнинга криптовалют. Такое ПО Cloudflare считает вредоносным.

Мобильные устройства, в том числе и корпоративные, тоже не остаются без внимания злоумышленников. Несколько месяцев назад появился вредонос, который настолько перегружает процессные мощности мобильного телефона на базе Android, что батарея выходит из строя в среднем за несколько дней.

Другой вариант – компрометация Wi-Fi сетей, при котором страдают как рядовые пользователи, так и сотрудники компаний, работающие удаленно с корпоративных устройств. Как все происходит? Заходите вы в кафе, подключаетесь к местному Wi-Fi и начинаете пользоваться интернетом. А злоумышленники уже позаботились о том, чтобы перенаправить вас на страницу со встроенным майнером, или встроить код для майнинга в каждую страницу посещаемого сайта, реализовав MITM-атаку (известную больше как «человек посередине») на браузер.

Способы защиты: стационарные рабочие места и мобильники

  • Поиск несанкционированно-установленного ПО

Существует немало программ, способных промониторить все установленные программы и сверить со списком изначально установленных и разрешенных в автоматическом режиме. Таким функционалом в том числе обладают многие антивирусные решения, а также специализированные сканеры, которые, кроме сбора информации об установленных программах, умеют обнаруживать в них уязвимости и ошибки конфигурации.

  • Белые списки (White Listing) на критичных серверах

Это технология, которая контролирует процессы, запущенные на серверах с критичными для компании функциями. При этом список ПО, которое может быть запущено на этих серверах, жестко фиксированный. Запуск нелегитимных процессов блокируется.

  • Интеллектуальный мониторинг IT-инфраструктуры

Так как при майнинге можно наблюдать достаточно специфичную нагрузку на процессор для защиты можно использовать интеллектуальный мониторинг IT-инфраструктуры.

Такой подход позволяет контролировать запуск ПО на всех серверах, не обладая специализированными сигнатурами, какие есть, например, в программах-антивирусах. Механика процесса следующая: мы можем вычислить, что какое-то конкретное ПО запускается регулярно и при этом сильно загружает процессор.

Таким образом, интеллектуальный мониторинг позволяет найти серверы, которые могли быть потенциально скомпрометированы либо администратором (в случае сговора), либо вредоносным ПО.

  • UBA

Еще один метод защиты корпоративных информационных сетей и от майнинга в том числе – анализ отклонений в поведении пользователей. Представим, что в компании есть системный администратор, который управляет серверами по определенным протоколам, может перезагружать их и эти действия не вызывают подозрений – это обычные штатные задачи. В этой же компании работают бухгалтер, который подключается к 1С и меняет какие-то данные, что тоже вполне естественно. Но если мы видим, что системный администратор меняет данные в 1С, а бухгалтер – конфигурации серверов – это, как минимум, странное поведение.

Для обнаружения таких аномалий используются системы User Behavior Analytics (UBA). Собственно, в случае скрытого майнинга, если имеет место сговор с системным администратором или администратором по безопасности, нетипичное поведение этих пользователей технология тоже поймает.

  • MDM + проверенные магазины приложений

MDM – это управление мобильными устройствами, при котором всеми настройками на корпоративных мобильных можно управлять централизованно: начиная с настроек VPN, сертификатов, до списков установленных приложений и геопозиционирования. Внедрение такой системы в компании позволит снизить риск заражения корпоративных мобильных устройств почти до нуля.

При этом никто не отменяет и стандартных методов для защиты мобильных устройств – использование только проверенных магазинов приложений App Store и Google Play. Конечно, App Store на сегодняшний день превосходит по уровню защиты устройства на базе Android, во многом, благодаря закрытой операционной системе: все приложения, которые попадают в магазин, проходят тщательный отбор и контроль на наличие вредоносного ПО.

Чего ждать компаниям?

Согласно прогнозам аналитиков, персональный майнинг будет постепенно сходить на нет, так как заработать существенные деньги в одиночку становится все сложнее. Ситуация начинает походить на типичный случай с хакерами, которые уже давно объединяются в группировки. Майнеры будут продолжать представлять угрозу для бизнеса в ближайшее время. Поэтому компаниям потребуется разработать дополнительные меры контроля за пользователями и администраторами, чтобы и те, и другие использовали корпоративные ресурсы по назначению.

{ "author_name": "Анастасия Фетисова", "author_type": "self", "tags": [], "comments": 0, "likes": 9, "favorites": 2, "is_advertisement": false, "section_name": "blog", "id": "34277", "is_wide": "" }
{ "is_needs_advanced_access": false }

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Подписаться на push-уведомления
[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } } ]