手机/办公电脑突然变得卡顿，警惕自己的电脑或变成别人的免费矿工

2022-07-08

手机/办公电脑突然变得卡顿，警惕自己的电脑或变成别人的免费矿工。随着虚拟货币市场的疯狂炒作，挖矿已经成为一种额外的经济来源，越来越多的人参与其中。从2022年安全态势来看，攻击者将企业、政府和教育行业作为挖矿的主要目标，通过弱口令爆破、社会工程和钓鱼等方式对计算机进行攻击，利用他人计算机CPU和GPU的计算能力挖取虚拟货币获利，导致计算资源被耗尽严重影响本地服务正常使用。这一来不但影响自己办公电脑的使用，更因为计算机的超负荷运算减短硬件的使用寿命，那我们如何防止自己的设备变成他人的免费矿工呢？诚然良好的电脑或者手机的使用习惯，不访问或者点击非法链接或者自己不了解的视频、文件、图片等等，这些可以有效避免自己设备被钓鱼木马植入。我们利用现有的安全技术去做根本上的防范

安全界有句话“世界上只有两种系统，一种是已知被攻破的系统，一种是已经被攻破但自己还不知道的系统”，如何阻止网络攻击是每个安全从业者的职责。目前业界普遍认可纵深防御的理念开展网络安全防护工作，通过访问控制FW和网络技术进行安全域隔离，生产与非生产隔离；身份认证IAM进行权限管理、运维审计、双因素认证等；应用防火墙WAF和RASP等技术对应用侧威胁检测与阻断；网络入侵监测防御系统NIDPS对威胁进行识别与阻断；APT检测系统在流量侧进行风险预警；服务器侧威胁检测系统HIDS/EDR对服务器资产、安全配置、运行服务和webshell等情况进行排查；日志管理系统SIEM汇总收集各类型日志，通过场景化日志识别风险并告警；数据库审计系统检测异常访问、数据获取与系统运维行为；安全运营中心SOC对各类安全产品进行汇总，借助统计分析、机器学习等方式对告警进行聚合，进行精准告警并联动阻断；通过众多安全产品开展递进式、多维式的防御，经过安全人员的不断运营起到了良好的防御效果。

但是，这一套系统的投入对于企业来说不可忽视，考虑到ROI问题，通常在非生产环境的安全投入是指数级下降。这里建议，如果企业在非生产环境有互联网服务，一定要尽可能的与生产保持一致的防护水平，如果预算不足，至少在如下几点做好管控：

1) 做好资产管理

所有IP资产责任到人，互联网服务责任到人。至少每半年复核1次，这样安全管理员能够确定资产使用情况，责任人能够了解有人在进行监督，杜绝出现无人认领的资产。

2) 严格访问控制

对于提供互联网服务和访问互联网服务的服务器建议单独设置安全域，严格控制出向访问，建议互联网服务双向进行点对点控制。

3) 不在互联网开放高危端口

严禁在互联网开放21、22、23、44、1433、3389、3306、6379、60000、11211等端口，如必须开放，建议通过VPN方式接入，其中ssh建议改为密钥登录。

4) 做好口令管理

严禁任何服务的任何账户使用空口令、默认口令、简单口令，在技术支持的基础上应强制设置高复杂度口令。

5) 坚持漏洞管理

系统被入侵很大原因是漏洞没有及时修复，像今天还有企业存在“永恒之蓝”、“Struts2”旧版本漏洞，在业务系统具备高可用机制的情况下，应采取“积极”的态度进行漏洞修复，也就是及时漏洞修复真的影响了1台服务器，系统架构具有高可用机制，具备回退窗口，依旧不会对系统造成影响。

6) 采集异常日志