Am 6. Juni schrieb der Forbes-Reporter Kashmir Hill über einen NSF-Forscher, der von der NSF finanzierte Supercomputing-Ressourcen missbraucht hat, um Bitcoin im Wert von 8.000 bis 10.000 Dollar zu schürfen. Der Artikel verweist auf einen Studenten des Londoner Imperial College und einen Forscher der Harvard University, die ebenfalls die Computer ihrer Universitäten zum Mining einer ähnlichen virtuellen Währung namens Dogecoin verwendet haben sollen.
Als CISO ist Ihre erste Reaktion vielleicht, dass die unangemessene Nutzung der Ressourcen Ihres Unternehmens unterbunden werden sollte, aber das ist wahrscheinlich nicht Ihre höchste Priorität. Jemand, der Ihre Computer und Ihr Netzwerk nutzt, um virtuelle Währungen zu schürfen, ist ein bisschen so, als würde jemand sein Elektroauto an einer Steckdose in Ihrem Haus aufladen. Ja, derjenige nutzt Ihren Strom ohne Erlaubnis und ohne Sie dafür zu entschädigen. Allerdings stiehlt er nicht etwas von hohem Wert und bedroht Ihr Leben oder Ihren Lebensunterhalt. Dennoch ist dies etwas, über das wir wahrscheinlich Bescheid wissen und das wir nach Möglichkeit unterbinden sollten.
Das Mining virtueller Währungen wird von typischen Sicherheitsprodukten nicht erkannt
Die typischen Sicherheitsprodukte, die von Unternehmen eingesetzt werden, erkennen illegale Aktivitäten wie das Mining virtueller Währungen nicht. Computer, die virtuelle Währungen wie Bitcoin oder Dogecoin schürfen, kommunizieren über Port 80, den Firewalls so konfiguriert sind, dass sie ihn durchlassen. Wenn ein Unternehmen ein Intrusion Prevention System (IPS) einsetzt, können diese Geräte das Mining virtueller Währungen anhand von Signaturen erkennen. Allerdings verwendet nicht jedes Unternehmen ein IPS und nicht alle Signaturen sind immer aktiviert. Da es Tausende von Signaturen gibt, müssen Sicherheitsteams diese je nach Geschäftsrisiko verwalten und priorisieren, um die IPS-Durchsatzleistung zu gewährleisten. Selbst wenn Sie also ein IPS in Ihrer Perimeter-Verteidigung haben, ist es möglicherweise nicht so konfiguriert, dass es virtuelle Währungen findet und stoppt.
Dies wirft die Frage auf, ob es überhaupt wichtig ist, das Mining virtueller Währungen zu erkennen. Vor der Beantwortung dieser Frage ist es wichtig, sich daran zu erinnern, dass das Schürfen virtueller Währungen eine Menge Rechenzyklen erfordert, um viel Geld zu verdienen. Um diese Zyklen zu erhalten, kann sich die Person, die den Mining-Prozess betreibt, an einen Bot-Herder wenden, der Tausende von infizierten Computern über ein Botnetz kontrolliert.
Was ist zu tun, wenn man von Krypto-Mining-Aktivitäten erfährt?
Wenn Sie in Ihrem Unternehmen einen Computer finden, der eine virtuelle Währung schürft, hat entweder der Besitzer des Rechners die Schürfsoftware installiert oder die Software wurde ohne sein Wissen installiert. Wenn Ersteres der Fall ist, müssen Sie sich Gedanken darüber machen, für welche anderen unerlaubten Aktivitäten der Mitarbeiter den Computer verwendet. Wenn letzteres der Fall ist, könnte es in Ihrem Unternehmen weitere infizierte Geräte geben, die von einem Bot-Herder kontrolliert werden. Diese infizierten Computer könnten heute für das Mining virtueller Währungen verwendet werden, aber morgen könnten sie für einen DDoS-Angriff auf eine beliebte Suchmaschine eingesetzt werden, was dazu führen könnte, dass Ihre IP-Adresse auf eine schwarze Liste gesetzt wird. In der Wirtschaft der Angreifer sind Botnets das ursprüngliche cloud , mit dem Unterschied, dass der Bot-Herder nicht für die Computer und das Netzwerk, das er vermietet, bezahlt hat.
Unsere Plattformen der X-Serie haben das Mining von Bitcoin und anderen virtuellen Währungen in Netzwerken aufgespürt, und der oben beschriebene Gedankengang ist eine Erfahrung, die wir bei Kunden gemacht haben. Kunden nutzen unser Produkt, um die Perimeter-Verteidigung wie Firewall und IPS zu ergänzen, um Malware und gezielte Angriffe zu identifizieren, die den Perimeter umgangen haben oder die durch die Vordertür auf Laptops gelangt sind, die außerhalb der Unternehmens-Firewall verwendet werden.
Um auf die Frage zurückzukommen, ob es wichtig ist, Bitcoin-Mining zu erkennen, ist das Fehlen von Sicherheitssystemen, die das Mining virtueller Währungen erkennen können, ein Indikator dafür, dass Ihre Verteidigungssysteme möglicherweise nicht bereit sind, einen gezielten Angriff zu erkennen. Es ist wichtig, über Sicherheitssysteme zu verfügen, die jegliches böswillige Verhalten erkennen und es in einer Weise melden, die es Ihnen ermöglicht, Signale im Rauschen zu finden, schnell eine Triage vorzunehmen und Ihre begrenzten Ressourcen auf die größten Risiken zu konzentrieren.
Wenn Sie mehr darüber erfahren möchten, wie Vectra Networks Kunden dabei hilft, Bedrohungen und Angriffe, die sich der Perimeterverteidigung entziehen, schnell zu erkennen und einzuteilen, sehen Sie sich den Erfahrungsbericht von Sam Kamran, CISO bei Riverbed, an. Um mehr über die Funktionsweise von Vectra zu erfahren, sehen Sie sich eine 2-minütige Demo an.