产业安全公开课：攻防视角下，云上挖矿攻击难题的破解思路

近年来，企业不断加快数字化建设步伐，业务触网带来转型机会和巨大效益的同时，也扩大了自身攻击面。其中，挖矿攻击作为常见的网络安全威胁之一，影响着企业机构的业务安全。

3月16日，腾讯安全举办《原引擎：中小企业如何高效破解挖矿攻击难题》主题公开课，聚焦云原生安全防挖矿的痛点场景，邀请到中国信通院安全所高工郑威、腾讯云安全服务应急专家高智鹏、金融机构知名安全专家何启翱、腾讯云原生安全产品专家钟壮豪、腾讯安全服务产品经理王璐五位专家，分享“攻”、“守”两个视角下的云原生安全挖矿场景最佳实践，以期帮助中小企业构建更高效、安全、省心的云原生安全防护体系。

以下为重点演讲内容：

恶意挖矿趋势解读

黑产攻击仍然活跃

中国信通院安全所高工郑威分享了《行业趋势：恶意挖矿趋势分析解读》主题演讲，从态势、技术等角度详细介绍了挖矿攻击的趋势和防范。

1、新技术形态促使下“云挖矿”诞生，提供更高算力和更快挖矿速度

郑威：在新的技术形态下，挖矿活动出现了一种新形式——“云挖矿”，即将挖矿相关硬件放置在远程数据中心，从而进行挖矿活动。云挖矿服务提供商会将大量矿机设备部署在远程数据中心，将算力出租给投资者进行挖矿活动。

“云挖矿”一般有三种形式：一是租用矿机；二是租用并创建自己的虚拟云服务器，安装挖矿软件；三是租用算力，这一方式不需要租用物理和虚拟机，直接使用远程数据中心的算力，是目前最受欢迎的云挖矿方式。

2、恶意挖矿在技术力、竞争力、隐蔽性上有显著提升

郑威：随着加密货币的飞速发展以及货币的价值提高，恶意挖矿呈现出四大趋势：

一是虚拟货币价格激增，攻击者通过各种手段提升挖掘效率；

二是恶意挖矿活动中，会出现多个挖矿家族争夺挖矿资源；

三是挖矿活动产出货币越来越少，对算力的需求增大，攻击者将目光瞄准具有高性能、高处理能力的基础设施，即工业控制系统；

四是在与杀软的对抗中，挖矿木马作案方式升级，更倾向于可持续控制目标主机、长期潜伏、横向传播能力强，更难被用户察觉。

3、挖矿治理需要上层监管和下层企业共同发力

郑威：从监测识别角度上看，防护者可以利用威胁情报提升对挖矿威胁信息的研判、响应能力；从分析检测角度看，可以对挖矿事件进行自动化编排，形成联动检测、响应、处置的自动化处理机制；从持续运营角度看，可以结合传统网络安全与数据的逻辑，叠加挖矿特色场景，优化挖矿治理策略。

除此之外，防治恶意挖矿需要上下层在政策监管和安全建设上共同发力，减少挖矿事件的发生。个人用户则需要提高安全意识，及时更新应用、系统和固件版本，做好终端安全防护。

挖矿攻击手法多样

全周期安全成为必需

腾讯云安全服务应急专家高智鹏带来《挖矿攻击常见的手法与演示》主题分享，从“攻击”角度详细介绍挖矿攻击的含义和常见手法，并演示挖矿攻击的过程。

1、挖矿攻击及常用手法

高智鹏：挖矿攻击是指在用户不知情或未经允许的情况下，占用受害者的系统资源和网络资源进行挖矿，从而获取加密货币牟利。其常用手法主要包括四大类：应用捆绑、暴力破解、漏洞利用和挖矿网站。

2、应急不应成为常态，企业需闭环安全能力

高智鹏：在严格的监管下，云上挖矿攻击事件大幅减少，但企业仍不能掉以轻心，应构建以评估-监测-应急为体系的闭环安全能力，避免攻击事件再发生。基于客户需求和多年安全实践，腾讯MSS安全服务融合安全评估、风险检测、安全监控、安全加固、漏洞加固和风险监测、应急响应多项功能，能够提供持续、高效的安全监控和运营管理服务，同时提供应急值守团队进行入侵事件分析及应急保障，帮助企业快速恢复业务。

升级安全防护策略

探索金融数字化转型之道

金融机构知名安全专家何启翱根据多年行业观察以及深入研究，就金融行业数字化安全建设的话题提出数据安全防护策略。

1、金融行业数字化转型既是机遇也是挑战

何启翱：数字化技术为各行各业带来产业升级转型机会，其中金融行业在数字化浪潮中，以数字技术为驱动、以客户体验为导向，对业务和系统进行全面开放和融合，以实现产业结构的升级和转型。

然而在这一过程中，金融行业也暴露出了更多攻击面，面临三大安全挑战：

• 安全边界的模糊。业务架构的开放和内外资源融合，挑战传统边界防护安全防护体系。
• 身份认证的挑战。金融机构的融合生态模式和全面线上化的用户关系复杂，线上场景给用户身份认证带来挑战。
• 模型的风险。产业升级后，以人工经验为导向的决策逐渐转向模型化决策，人工智能模型和规则的不透明和未知性带来一定的安全风险。

2、防护思路：基于业务场景升级安全架构

何启翱：首先，需要配备全面的资产管理能力。构建细粒度分级分类的企业级SCMDB，将资产视图化，并进行更多维度的层次划分；同时细化架构设计、组件模块等，更细粒度地管理内容。

其次，建立更灵活的安全标准体系。数字化转型下，新系统、新需求、新场景不断涌现，原有条目化安全标准难以满足当下需求，亟需向模型化转变，以适应数字化时期更多复杂场景。

再者，打造可定制化输出的安全能力。当前安全防护体系呈现自动化、集约化、安全服务化的特征，然而在未来数字化驱动和场景化模式下，安全防护力需要变成可对外输出的工具和产品，以适应更多业务需求。

最后，提升与业务融合的安全分析能力。数字化场景下，攻击行为隐藏在海量用户交易数据和流量中，基于零信任理念的安全建设能够从接入侧有效解决业务系统中的潜在威胁。

攻防视角下的云原生安全

防挖矿场景最佳实践

腾讯云原生安全产品专家钟壮豪结合自身实践经验，基于腾讯安全新一代主机安全防护系统分享防挖矿的思考和实践。

1、攻防视角看挖矿攻击特点

钟壮豪：从攻击者视角来看，由于挖矿需要大量算力资源，攻击者需要在短时间内攻陷更多服务器。从防护视角来看，攻击者在攻击过程中会大量利用自动化攻击工具、商业化IP代理工具进行探测及绕过，批量对云上资产进行扫描，利用弱密码、服务器漏洞，争取在短时间内获取到更多服务器权限。

2、主机/容器安全，构建资产安全体系

钟壮豪：针对挖矿的特点，腾讯安全基于AI技术的新一代主机安全防护系统，能够从“预防→防御→检测→响应”构建完整的主机安全防护体系，聚焦事前、事中和事后，还原整个攻击链路，提供高效防御阻断和修复。

针对容器维度的挖矿防护，腾讯安全容器安全防护解决方案能够分别针对挖矿的三个阶段实施治理，有的放矢收敛漏洞，消除挖矿威胁。 

第一，构建阶段，镜像漏洞运营与治理。通过常规开展镜像漏洞运营，收敛漏洞风险减少攻击面。 

第二，部署阶段，针对集群环境对漏洞和配置风险实施安全加固。集群环境主要存在两大风险，分别为组件漏洞和组件合规。该解决方案能够对runC、Kubelet、API Server等集群基础设施组件开展安全巡检，关注高危组件漏洞并及时推修。并且能够对研发环境和生产环境做好网络隔离和登陆管控。 

第三，运行阶段，进行深入容器内的入侵检测和防护。前两个阶段的治理能够消除大部分的高风险和中风险，但仍存在外部攻击的可能。针对运行时的攻击，腾讯安全提供容器内入侵事件的检测及实时上报，自动拦截失陷容器，对反弹行为进行持续监测。

构建云上安全防线

从前置位规避安全风险

腾讯安全服务产品经理王璐带来主题分享《基于攻防视角下的云防守能力建设》，讲述企业层面如何通过新技术实现安全前置，降低安全风险。

1、云上安全建设需扩大安全覆盖面

王璐：安全风险一旦爆发，后续工作更多是“亡羊补牢”。很多安全事件的发生是基于漏洞的利用，以及业务系统自身的脆弱性，加上频频发生的社工钓鱼、供应链攻击事件，提醒防守者内部安全存在诸多潜在隐患，主动的安全防御和运营成为必要。

从攻击者视角来看，攻击者会主动了解目前安全产品的能力构建，针对业务本身进行安全风险的探测和测试。因此，防守者也应当基于业务系统和整网安全环境来构建事前风险排查、事中持续监测、事后应急响应的能力。

然而大部分用户很难只依靠自身力量去闭环云上安全管理工作，在不同阶段也会有不同的安全建设难题，主要有四点：第一是基础建设阶段对于安全能力的使用难题，第二是核心建设阶段的高端安全服务利用难题，第三是效能提升阶段的风险快速闭环难题，第四是量化反馈阶段的能力提升及安全量化的难题。

2、破局之道：腾讯云端一体化安全运营实践

王璐：如何进行安全运营，为安全建设提质增效？首先需要防护者建立“未信”，即从攻防视角建立不可信任的状态，持续对自身安全状态进行解释，发现可能存在的风险和挑战，并开展主动防御。其次，将第三方的成功经验和实践模板与实际安全工作相匹配，减少研判分析时间，实现快速应急响应，极大降低风险损失。

基于“IPDRR”模型构建的腾讯公有云安全托管服务（MSS）集成腾讯安全20多年攻防实践经验，构建多个安全管理流程闭环安全风险和安全事件，并针对安全运营难题，凝聚六大核心能力提供用户持续、高效的安全监控和运营管理服务。

• 基于攻击者视角的风险识别检测能力，提供可落地风险解决方案及建议。
• 全面有效的安全防御能力验证，落地和夯实安全能力。
• 漏洞感知与风险监测，强化发现问题的能力和及时性。
• 结合业务行为的安全监控、分析、处置能力，集中感知风险并推动处置。
• 风险处置及安全加固，提供有针对性的落地指导建议，持续推进安全修复工作。
• 专业应急响应团队应急响应值守，提供快速止损和入侵响应溯源，帮助快速恢复业务。

「产业安全公开课」

汇聚行业智慧，打造卓越产品，解读最新趋势。腾讯安全邀你相聚云端，共话产业安全。