Rambler's Top100
Статьи
Роман ЖУКОВ  22 мая 2018

Как бороться с нелегальным майнингом в ЦОДах?

В авангарде нелегального майнинга сегодня -- ЦОДы крупных предприятий. Безопасники все чаще сталкиваются с тем, что сотрудники компаний злоупотребляют корпоративными ресурсами, используя их для добычи криптовалюты.

 Специалистам по информационной безопасности обычно трудно предъявить какие-либо обвинения нелегальным майнерам, потому что, применяя штатные средства контроля, крайне сложно собрать доказательную базу об ущербе, нанесенном организации.

В нашей практике был случай, когда ЦОД одного крупного промышленного холдинга был загружен майнерами более чем на 20% мощности. Причем одна часть майнинга приходилась на сотрудников холдинга, а другая – на зараженные компьютеры, проводящие расчеты в интересах внешних злоумышленников.

Подобные инциденты информационной безопасности сложно детектировать с помощью классических решений. Однако если в базах службы безопасности нет сигнатур по обнаружению «добычи» определенной криптовалюты, то майнеров можно выявлять по паттернам их поведения.

Весьма популярный технологический тренд последних лет -- UEBA (user and entity behavior analytics). С помощью современных программных средств анализируется поведение пользователей и отдельных компьютеров. Полученные результаты сравниваются с их нормальным ежедневным поведением либо с поведением коллег по отделу или бизнес-единице.

Оценить вредоносность можно также по профилю трафика. Рассмотрим простейший случай: менеджер нагружает свою машину в рабочее время с 9 утра до 18 вечера и, как правило, делает это неравномерно. Если же с определенного момента нагрузка на канал связи стала равномерной и круглосуточной, то такое поведение само по себе подозрительно и требует тщательной проверки службой информационной безопасности.

Злоумышленники используют наиболее современные разработки в области информационной безопасности; они не скованы законодательством и имеют в распоряжении базу для тестирования в виде разных ЦОДов. Фактически преступники всегда на шаг впереди защиты. Применение технологий поведенческого анализа как раз и дает возможность сократить технологическое отставание от нарушителей, в том числе в области информационной безопасности ЦОДов.

«Гарда Технологии» уже давно строит все решения информационной безопасности на платформе Big Data собственной разработки, позволяющей отслеживать несколько миллионов событий информационной безопасности в секунду, хранить и обрабатывать десятки терабит трафика. Это дает возможность моментально анализировать весь трафик, приходящий в ЦОДы. Системы, установленные за периметром, отслеживают всё, что делают пользователи и что происходит с инфраструктурой ЦОДа. Такой подход предоставляет сотрудникам службы безопасности инструменты для выявления аномалий в трафике и более эффективной настройки системы защиты. На текущий день наиболее эффективный метод борьбы с майнерами -- это их своевременное детектирование и устранение последствий.

Роман Жуков, руководитель экспертного направления по информационной безопасности, «Гарда технологии»
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!