安全感知管理平台SIP内置挖矿专项检测模块
用户还可以选择通过镜像交换机流量到深信服流量探针 ， 并传输至SIP平台进行分析 。
深信服安全感知管理平台SIP内置了“挖矿专项检测”模块 ， 通过「挖矿阶段图」、「受害资产」、「受害资产攻击数Top5」3个维度 ， 将挖矿影响展现出来 ， 用户可以清晰定位资产的受影响情况（受影响的资产数量、类别、所处阶段、攻击程度等） 。

文章图片

对于加密挖矿的场景 ， 通过UEBA算法模型 ， 发现用户、机器和其他实体在用户网络上的异常和危险行为 ， 并确定此行为是否具有安全隐患 ， 从而定位网络中的挖矿行为 ， 帮助用户实现简单有效运营 。
此外 ， 还可以将AF和SIP接入深信服安全运营中心 ， 安全专家可以进一步对检测到的异常外连行为进行多元分析 ， 利用云端大数据分析平台和威胁狩猎平台 ， 精准定位挖矿主机 ， 同时为用户提供7*24小时挖矿行为持续监测服务 。
检测到挖矿行为后 ， 如何精准闭环处置？
终端检测响应平台EDR+挖矿处置专项安全服务
一旦在用户网络中发现挖矿病毒 ， 深信服建议用户在网络中部署终端检测响应平台EDR ， 通过结合深信服挖矿处置专项安全服务 ， 以“工具+服务”的方式实现全网挖矿病毒处置工作 。
挖矿病毒的处置主要包括Linux系统与Windows系统的处置：
（1） Linux系统挖矿病毒的处置
通过定时任务/服务的清除、特定文件的删除、文件中特定内容的删除、目录的删除、指定文件的恢复、病毒进程文件处置、病毒文件删除等处置动作 ， 彻底清除用户网络中的挖矿病毒 。
（2） Windows系统挖矿病毒的处置
通过进程内存处置、自启动目录文件删除、自启动配件文件的清除/修改 ， 注册表项的清除/修改 ， 计划任务删除、账号删除、WMI自启动删除、文件的删除和恢复等处置动作 ， 彻底清除用户网络中的挖矿病毒 。
在挖矿病毒处置过程中 ， 深信服安全专家通过对AF、SIP、EDR安全日志和流量的关联分析 ， 可以帮助用户实现“边界-网络-终端”的整体联动 ， 深度溯源找到挖矿入侵源头 ， 清除病毒的同时协助用户完成安全加固 。
03
“检测-处置-预防” ， 构建立体化防护解决方案
值得注意的是 ， 检测和处置只是应对挖矿病毒的应急手段 。 面对日益严峻的挖矿病毒威胁 ， 深信服建议 ， 用户应从预防思路出发 ， 建设立体化的挖矿病毒防护解决方案 ， 从源头杜绝挖矿病毒进入组织内部 。
对于挖矿病毒的预防 ， 深信服建议从边界侧、网络侧、终端侧三个方面建设立体化的防护体系 。

文章图片

通过在互联网边界侧部署深信服AF ， 镜像核心交换机流量到深信服SIP ， 同时安装深信服EDR在终端侧快速响应处置 ， 结合深信服挖矿专项安全服务 ， 构建集“检测-处置-预防”于一体的7*24小时挖矿病毒防护解决方案 。

文章图片

1. 化被动为主动 ， 从源头避免损失
有效检测识别挖矿行为 ， 避免挖矿病毒和程序长期潜伏；
2. 网端安全协同 ， 精准闭环处置
快速处置感染主机、深度溯源 ， 防止同类挖矿病毒复发；
3. 7*24小监测预警 ， 贴心保障
加强安全防护措施 ， 提供7*24小监测预警机制 ， 有效预防挖矿病毒入侵 。 【广告】