1. “挖矿”威胁行为与风险分析 2017年6月,安天提出了“有效敌情想定是网络安全工作的前提”,将“敌情想定”这一军事术语引入了网络安全领域。安天以此为基础发展出“威胁想定分析框架”,分析框架从“威胁行为体”、“动机”、“行为”、“资产环境”和“后果”等方面,围绕价值资产,分析关联的威胁行为体及其动机,根据历史案例和动机遍历威胁技术,分析威胁技战术对资产环境的影响以及风险后果,以此理清“我情”(价值资产)、“敌情”(威胁行为体、动机、行为)、“风险后果”,是开展专项治理工作的前提。基于对典型“挖矿”攻击持续深度监测分析与赋能客户现场应急响应处置经验,安天CERT梳理了典型“挖矿攻击活动”的威胁行为及分析后果图谱。
综合来看,伴随加密应用的普遍化,“挖矿类”网络通信行为也隐藏在正常的加密通信中,传统边界侧安全的作用正在被削弱甚至被绕过,网络安全防护的支点重回系统侧安全;另外一方面,无论是内部人员自主行为、还是被攻击者入侵后的被动行为,“挖矿动作”的作用主体在主机节点,因此“挖矿”威胁治理工作的核心是需要加强对各类工作负载端点的统一管理,形成端点有效防护屏障。
同时,“挖矿”行为的主要动机是趋利行为,虚拟货币只要有利可图,“挖矿”威胁将持续存在,因此针对网内可能出现的主动或被动“挖矿行为”,还需要加强常态化安全监测和