Криптовалюта и облако Кейто

Проблема с криптовалютой

Если вы проводите время в Интернете, вы, скорее всего, хотя бы раз сталкивались с понятием криптовалюты. Это захватывающий шаг в установлении мировой цифровой экономики, который несет как значительные возможности, так и риски.

Рост популярности криптовалют, таких как Bitcoin, Monero, Ripple, Shib и других, привел к резкому увеличению числа людей, активно заинтересованных в торговле этими валютами. Когда это сочетается с низкими барьерами для входа на торговые платформы, многие люди рассматривают занятие криптовалютой как выгодное предложение. Особенно киберпреступники.

Киберпреступники часто используют мошеннические атаки, чтобы обмануть пользователя и отправить криптовалюту в кошелек преступника, или они могут использовать другие методы, такие как вредоносное ПО или атаки drive-by, чтобы использовать ресурсы обработки жертвы в целях криптодобычи. В глазах киберпреступников ненадежная машина выглядит точно так же, как кошелек, оставленный без присмотра в ночном клубе.

К счастью, если вы клиент Кейто, у нас уже разработаны стратегии смягчения последствий, чтобы помочь вам оставаться в безопасности.

Решение Кейто для криптовалют

Существует множество векторов атак на криптовалюту, например, кража криптомонет, как кража чужого физического кошелька. Однако также можно добывать криптомонеты, используя локальное аппаратное обеспечение. Это означает, что киберпреступники могут взломать хосты и серверы в вашей учетной записи и использовать их для добычи криптомонет. Это вызывает значительное воздействие на производительность этих ресурсов и увеличивает прибыль киберпреступников.

Облако Кейто использует несколько различных подходов для защиты вашей учетной записи от атак на криптовалюту, давайте начнем изучать возможности.

Сигнатуры IPS

Каждый раз, когда майнер криптовалюты пытается использовать ресурсы системы для генерации монеты, программное обеспечение должно связаться с пулом или подтвердить усилия по работе с блокчейном. Как только подтверждение завершения представлено, монета (или скорее всего её фрагмент) выдаётся на связанный кошелек. Это приводит к тому, что машины работают почти на 100% ЦП и ГП почти постоянно, влияя на цифровой опыт пользователей и увеличивая эксплуатационные расходы вашей компании.

Служба IPS Кейто автоматически смягчает и блокирует передачу и коммуникацию такого типа трафика, используя постоянно обновляемый анализ угроз. Команда безопасности Кейто создает специальные сигнатуры IPS для обнаружения протоколов майнинга, таких как Stratum, а также для известных майнеров, таких как XMRig и XMR-Stak. Кроме того, имеются также специальные сигнатуры IPS и эвристические методы для известного вредоносного ПО для криптовалют, чтобы помочь смягчить любое потенциальное воздействие на ваши бизнес-операции.

Кейто постоянно поддерживает, отслеживает и развивает движок IPS, поэтому вы можете быть спокойны, зная, что Облако Кейто всегда обновлено с последними мерами защиты.

Потоки разведывательной информации об угрозах

Как часть службы IPS Кейто, мы используем специализированные потоки разведывательной информации об угрозах для криптовалют, которые помогают обнаружить майнинговые пулы и вредоносные домены, связанные с известными атаками на криптовалюты и вредоносным ПО. Кроме того, мы создали собственный поток разведывательной информации об угрозах для обнаружения и блокировки активности криптовалюты (независимо от типа протокола).

Кейто также использует нашу глобальную сеть, контролируя триллионы сетевых потоков для майнинговой деятельности по всем сетям наших клиентов. Если мы выявляем и блокируем потенциальную угрозу для одного из наших клиентов, такая же защита применяется ко всем клиентам.

Защита от вредоносных программ

Представьте себе мир, где вы обновили базы данных движка IPS вашей сети, исправили все ваши файерволы и изучили каждый каталог на ваших серверах. Тем не менее - пользователи все еще сообщают, что сеть 'медленная', и заявки накапливаются в очереди вашей помощи. Что вы делаете? Естественно, вы начинаете с захвата пакетов, изучаете метрики пропускной способности приложения. Затем вы запускаете трассировку маршрута по сети, и все выглядит отлично. Постепенно до вас доходит, и начинает подниматься паника. Это не проблема сети, это проблема хоста.

Ваши конечные устройства являются самой большой поверхностью атаки для корпораций, и довольно просто заразить устройство вредоносными программами, особенно если они используют технологии, такие как WebAssembly. Это часто используется злоумышленниками для выполнения криптодобычи, используя ресурсы обработки жертвы. Но в отличие от 'традиционного' вредоносного ПО, атаку можно выполнить без загрузки файла.

Представьте, ваш пользователь открывает браузер и устанавливает легитимную сессию с сайтом. Они просматривают страницы нормально, но их машина замедляется (и вентиляторы ноутбука работают на 100%). Что произошло? Этот пользователь, возможно, перешел на сайт, который загружает код криптодобычи. Ой, ваша сеть теперь подвержена рискам и возможно заражена.

Cato решает такие угрозы, сканируя файлы WebAssembly (и все другие типы файлов) с помощью движков Антивируса и обнаруживает вредоносные файлы еще до того, как они достигают ваших конечных устройств. Используя комбинацию наших потоков данных об угрозах и эвристический анализ, мы можем блокировать эти типы атак.

Глобальная сеть Cato обеспечивает покрытие для север/юг и восток/запад распространения потенциально вредоносного кода. Это обеспечивает одинаковую защиту для каждого пользователя, сайта, филиала и облачной присутствия без необходимости внедрения каких-либо патчей или обновлений.

Услуга MDR от Cato

Услуга Managed Threat Detection and Response (MDR) от Cato мониторит инциденты безопасности и уязвимости в вашей сети. MDR использует все вышеупомянутые техники для обнаружения атак на криптовалюты (а также каждый другой инцидент безопасности, который может возникнуть в вашей сети) Если проблема обнаружена, то вы защищены и получите информацию о влиянии на ресурсы в вашей сети.

Вот несколько примеров сценариев, когда MDR помогает отслеживать проблемы с криптовалютами:

  • Определена периодическая связь с криптовалютными доменами с неизвестными клиентами

  • Наблюдается периодический JSON-RPC трафик, связанный с деятельностью по добыче криптовалют

  • Подозрительные попытки загрузки WebAssembly из доменов с низкой популярностью.

Как выглядит событие, связанное с криптовалютой?

Если когда-либо на вашей сети будут обнаружены события, связанные с криптовалютой, вы можете легко просмотреть их в Домашняя > События, включая:

  • Время события

  • Дескриптор имени угрозы

  • ID подписи

  • Тип угрозы

  • Действие

  • Источник/Адресат IP

  • Имя сайта источника

  • Направление трафика

С использованием этой информации, вы можете легко определить, кто, что, где и когда произошел ваш инцидент, связанный с криптовалютой. Это обеспечивает четкую линию обзора для определения, какие машины пытаются выполнить действия с криптомонетами в вашей корпоративной среде.

mceclip0.png

Разверните событие, чтобы показать больше информации о инциденте. Ниже пример события майнинга криптовалюты:

mceclip1.png

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 1

0 комментариев