Semalt: Zrozumienie działania botnetu poprzez infiltrację botnetu

Botnety są jednym z największych wyzwań w zakresie bezpieczeństwa IT, przed którymi stoją dziś użytkownicy komputerów. Tysiące botmasterów pracuje przez całą dobę, aby uniknąć blokad bezpieczeństwa opracowanych przez firmy ochroniarskie i inne zainteresowane agencje. Gospodarka botnetów w swojej złożoności ogromnie rośnie. W związku z tym Frank Abagnale, kierownik ds. Sukcesu klienta w firmie Semalt , chciałby opowiedzieć o niesamowitej praktyce firmy komputerowej Cisco.

W niedawnym badaniu przeprowadzonym przez zespół ds. Badań bezpieczeństwa Cisco stwierdzono, że istnieją botmasterzy, którzy zarabiają do 10 000 USD tygodniowo z działań botów. Dzięki tego rodzaju motywacji osobom, które byłyby zainteresowane wciągnięciem ich w przestępstwo, miliardy niczego niepodejrzewających użytkowników komputerów są bardziej narażone na skutki ataków botnetów.

Zespół badawczy Cisco, w swoich badaniach, miał na celu zrozumienie różnych technik, które botmasterzy wykorzystują do kompromitowania maszyn. Oto kilka rzeczy, które ich wysiłki pomogły odkryć:

Uważaj na ruch internetowy Relay Chat (IRC)

Większość botnetów korzysta z Internet Relay Chat (IRC) jako struktury dowodzenia i kontroli. Kod źródłowy IRC jest łatwo dostępny. Dlatego nowi i niedoświadczeni botmasterzy wykorzystują ruch IRC do rozprzestrzeniania prostych botnetów.

Wielu niczego niepodejrzewających użytkowników nie rozumie potencjalnego ryzyka dołączenia do sieci czatu, szczególnie gdy ich komputer nie jest chroniony przed exploitami za pomocą jakiejś formy systemu zapobiegania włamaniom.

Znaczenie systemu wykrywania włamań

System wykrywania włamań jest integralną częścią sieci. Przechowuje historię alertów z wdrożonego narzędzia do zarządzania bezpieczeństwem w Internecie i pozwala na naprawę systemu komputerowego, który został zaatakowany przez botnet. System wykrywania pozwala badaczowi bezpieczeństwa wiedzieć, co robił botnet. Pomaga również ustalić, które informacje zostały naruszone.

Wszyscy botmasterzy nie są maniakami komputerowymi

Wbrew wielu założeniom, uruchamianie botnetu nie wymaga zaawansowanego doświadczenia komputerowego ani specjalistycznej wiedzy na temat kodowania i pracy w sieci. Są botmasterzy, którzy są naprawdę bystrzy w swoich działaniach, ale inni są po prostu amatorami. W związku z tym niektóre boty są tworzone z większą biegłością niż inne. Podczas projektowania zabezpieczeń dla sieci ważne jest, aby pamiętać o obu typach atakujących. Ale dla wszystkich głównym motywatorem są łatwe pieniądze przy minimalnym wysiłku. Jeśli kompromis sieci lub maszyny trwa zbyt długo, botmaster przechodzi do następnego celu.

Znaczenie edukacji dla bezpieczeństwa sieci

Wysiłki bezpieczeństwa są skuteczne tylko dzięki edukacji użytkowników. Administratorzy systemu zwykle łatają narażone komputery lub wdrażają system IPS w celu ochrony komputera przed exploitami. Jeśli jednak użytkownik nie jest dobrze poinformowany o różnych sposobach unikania zagrożeń bezpieczeństwa, takich jak botnety, skuteczność nawet najnowszych narzędzi bezpieczeństwa jest ograniczona.

Użytkownik musi być stale edukowany na temat bezpiecznego zachowania. Oznacza to, że firma musi zwiększyć swój budżet na edukację użytkowników, jeśli ma zmniejszyć podatność na hostowanie serwerów spamowych, kradzież danych i inne cyberzagrożenia.

Botnety często występują jako osobliwości w sieci. Jeśli ruch z jednego lub kilku komputerów w sieci wyróżnia się na tle innych, maszyny mogą być zagrożone. Dzięki IPS łatwo jest wykryć luki w botnecie, ale ważne jest, aby użytkownik wiedział, jak wykrywać alerty generowane przez systemy bezpieczeństwa, takie jak IPS. Badacze bezpieczeństwa powinni także zachować czujność, aby zauważyć maszyny, które mają pewne dziwne zachowania.