Il 6 giugno, il giornalista di Forbes Kashmir Hill ha scritto di un ricercatore della NSF che ha utilizzato in modo improprio le risorse di supercalcolo finanziate dalla NSF per estrarre Bitcoin per un valore compreso tra 8.000 e 10.000 dollari. L'articolo cita uno studente dell'Imperial College di Londra e un ricercatore dell'Università di Harvard che sarebbero stati accusati di aver utilizzato i computer delle loro università per estrarre una valuta virtuale simile chiamata Dogecoin.
In qualità di CISO, la tua prima reazione potrebbe essere quella di impedire l'uso improprio delle risorse della tua organizzazione, ma probabilmente questa non è la tua priorità principale. Qualcuno che utilizza i tuoi computer e la tua rete per estrarre valuta virtuale è un po' come qualcuno che ricarica la propria auto elettrica da una presa di corrente a casa tua. Sì, stanno utilizzando la tua elettricità senza permesso e senza rimborsarti. Tuttavia, non stanno rubando qualcosa di grande valore e non stanno minacciando la tua vita o il tuo sostentamento. Tuttavia, è qualcosa che probabilmente vorremmo sapere e fermare, se possibile.
Il mining di valuta virtuale non viene rilevato dai normali prodotti di sicurezza.
I prodotti di sicurezza tipicamente utilizzati dalle organizzazioni non rilevano attività illecite come il mining di valute virtuali. I computer che effettuano il mining di valute virtuali come Bitcoin o Dogecoin comunicano tramite la porta 80, che i firewall sono configurati per consentire. Se un'organizzazione utilizza un sistema di prevenzione delle intrusioni (IPS), tali dispositivi possono utilizzare la firma per rilevare il mining di valuta virtuale. Tuttavia, non tutte le organizzazioni utilizzano un IPS e non tutte le firme sono sempre abilitate. Poiché esistono migliaia di firme, i team di sicurezza le gestiscono e le classificano in base al rischio aziendale per garantire le prestazioni di throughput dell'IPS. Pertanto, anche se disponete di un IPS nelle vostre difese perimetrali, potrebbe non essere configurato per individuare e bloccare la valuta virtuale.
Ciò solleva la questione se sia davvero importante individuare il mining di valuta virtuale. Prima di rispondere, è importante ricordare che per guadagnare somme significative dal mining di valuta virtuale sono necessari molti cicli di calcolo. Per ottenere questi cicli, chi gestisce il processo di mining può rivolgersi a un bot herder che controlla migliaia di computer infetti attraverso una botnet.
Cosa fare se scopri attività di mining di criptovalute?
Se scopri che un computer della tua organizzazione sta minando una valuta virtuale, significa che il proprietario del dispositivo ha installato il software di mining oppure che il software è stato installato a sua insaputa. Nel primo caso, devi preoccuparti di quali altre attività non autorizzate il dipendente sta svolgendo utilizzando il computer. Nel secondo caso, potrebbero esserci altri dispositivi infetti nella vostra organizzazione sotto il controllo di un bot herder. Questi computer infetti potrebbero essere utilizzati oggi per il mining di valuta virtuale, ma domani potrebbero essere utilizzati per un attacco DDoS su un motore di ricerca popolare, causando l'inserimento del vostro indirizzo IP nella lista nera. Nell'economia degli hacker, le botnet sono il cloud originale, tranne per il fatto che il bot herder non ha pagato i computer e la rete che sta affittando.
Le nostre piattaforme della serie X hanno rilevato attività di mining di Bitcoin e altre valute virtuali nelle reti e il processo di ragionamento sopra descritto è quello che abbiamo osservato nei nostri clienti. I clienti utilizzano il nostro prodotto per potenziare le difese perimetrali come firewall e IPS al fine di identificare malware attacchi mirati che hanno eluso il perimetro o che sono stati introdotti attraverso la porta principale su laptop utilizzati al di fuori del firewall aziendale.
Tornando alla questione dell'importanza di rilevare il mining di Bitcoin, non disporre di una sicurezza in grado di rilevare il mining di valuta virtuale è un indicatore del fatto che le vostre difese potrebbero non essere pronte a rilevare un attacco mirato. È importante disporre di sistemi di sicurezza che rilevano tutti i comportamenti dannosi e li segnalano in modo da consentirvi di individuare i segnali tra il rumore, effettuare rapidamente una selezione e dare priorità alle vostre risorse limitate sui rischi più elevati.
Per ulteriori informazioni su come Vectra Networks aiuta i clienti a rilevare e classificare rapidamente le minacce e gli attacchi che eludono le difese perimetrali, guarda Sam Kamran, CISO di Riverbed, mentre racconta la sua esperienza. Per ulteriori informazioni sul funzionamento di Vectra, guarda una demo di 2 minuti.