Il 6 giugno, Kashmir Hill, giornalista di Forbes, ha scritto di un ricercatore dell'NSF che ha utilizzato impropriamente le risorse di supercalcolo finanziate dall'NSF per estrarre Bitcoin per un valore compreso tra 8.000 e 10.000 dollari. L'articolo fa riferimento a uno studente dell'Imperial College di Londra e a un ricercatore dell'Università di Harvard che avrebbero usato i computer della loro università per estrarre una moneta virtuale simile, chiamata Dogecoin.
In qualità di CISO, la vostra prima reazione potrebbe essere quella di fermare gli usi inappropriati delle risorse dell'organizzazione, ma probabilmente questa non è la vostra massima priorità. Chi utilizza i vostri computer e la vostra rete per estrarre valuta virtuale è un po' come chi ricarica la propria auto elettrica da una presa di corrente di casa vostra. Sì, sta utilizzando la vostra elettricità senza autorizzazione o rimborso. Tuttavia, non sta rubando qualcosa di valore elevato e non sta minacciando la vostra vita o i vostri mezzi di sostentamento. Tuttavia, si tratta di qualcosa che probabilmente vorremmo conoscere e fermare, se possibile.
Il mining di valuta virtuale non viene rilevato dai tipici prodotti di sicurezza
I tipici prodotti di sicurezza utilizzati dalle organizzazioni non rilevano attività illecite come il mining di valuta virtuale. I computer che effettuano il mining di valute virtuali come Bitcoin o Dogecoin comunicano sulla porta 80, che i firewall sono configurati per consentire il passaggio. Se un'organizzazione utilizza un sistema di prevenzione delle intrusioni (IPS), questi dispositivi possono utilizzare la firma per rilevare il mining di valuta virtuale. Tuttavia, non tutte le organizzazioni utilizzano un IPS e non tutte le firme sono sempre abilitate. Poiché esistono migliaia di firme, i team di sicurezza le gestiscono e le classificano in base al rischio aziendale per garantire le prestazioni del throughput dell'IPS. Quindi, anche se avete un IPS nelle vostre difese perimetrali, potrebbe non essere configurato per trovare e bloccare la valuta virtuale.
Ci si chiede quindi se sia importante rilevare il mining di valuta virtuale. Prima di rispondere, è importante ricordare che per ottenere un guadagno significativo dal mining di valuta virtuale sono necessari molti cicli di calcolo. Per ottenere questi cicli, la persona che guida il processo di mining può rivolgersi a un bot herder che controlla migliaia di computer infetti attraverso una botnet.
Cosa fare se si scopre un'attività di crypto mining?
Se nella vostra organizzazione trovate un computer che effettua il mining di una valuta virtuale, il proprietario del computer ha installato il software di mining oppure il software è stato installato a sua insaputa. Se si tratta della prima ipotesi, dovrete preoccuparvi di quali altre attività non autorizzate il dipendente stia utilizzando il computer. Se si tratta della seconda ipotesi, potrebbero esserci altri dispositivi infetti nella vostra organizzazione sotto il controllo di un bot herder. Questi computer infetti potrebbero essere utilizzati oggi per il mining di valuta virtuale, ma domani potrebbero essere utilizzati per un attacco DDoS a un famoso motore di ricerca che potrebbe causare l'inserimento del vostro indirizzo IP nella lista nera. Nell'economia degli aggressori, le botnet sono il cloud computing originale, tranne per il fatto che il bot herder non ha pagato per i computer e la rete che sta affittando.
Le nostre piattaforme della serie X hanno rilevato il mining di Bitcoin e di altre valute virtuali nelle reti e il processo di pensiero sopra descritto è quello che abbiamo visto sperimentare dai clienti. I clienti utilizzano i nostri prodotti per aumentare le difese perimetrali, come firewall e IPS, per identificare malware e attacchi mirati che hanno eluso il perimetro o che sono entrati dalla porta principale su computer portatili utilizzati al di fuori del firewall aziendale.
Tornando alla domanda se sia importante rilevare il mining di Bitcoin, il fatto di non avere una sicurezza in grado di rilevare il mining di valuta virtuale è un indicatore che le vostre difese potrebbero non essere pronte a rilevare un attacco mirato. È importante disporre di sistemi di sicurezza in grado di rilevare tutti i comportamenti dannosi e di segnalarli in modo da poter individuare i segnali tra i rumori, assegnare rapidamente un triage e dare priorità alle risorse limitate sui rischi più elevati.
Per saperne di più su come Vectra Networks aiuta i clienti a rilevare rapidamente e a smaltire le minacce e gli attacchi che eludono le difese perimetrali, guardate Sam Kamran, CISO di Riverbed, che racconta la sua esperienza. Per saperne di più su come funziona Vectra, guardate una demo di 2 minuti.