Semalt: Porozumění aktivitám botnetů infiltrací botnetů

Botnety jsou jednou z největších výzev v oblasti IT bezpečnosti, kterým v dnešní době uživatelé počítačů čelí. Tisíce botmasterů nepřetržitě pracují na tom, aby se vyhnuly zátarasům bezpečnosti vyvinutým bezpečnostními společnostmi a dalšími dotčenými agenturami. Ekonomika botnetů ve své složitosti roste ohromně. V tomto ohledu by vám chtěl Frank Abagnale, Semalt Customer Success Manager, říci o úžasné praxi počítačové společnosti Cisco.

V nedávné studii výzkumného týmu pro bezpečnost společnosti Cisco bylo zjištěno, že existují botmastři, kteří z bot aktivit vydělají až 10 000 USD týdně. S takovou motivací k jednotlivcům, kteří by měli zájem dostat své ruce do zločinu, jsou miliardy netušících uživatelů počítačů vystaveny většímu riziku útoků botnetů.

Výzkumný tým společnosti Cisco se ve svém výzkumu zaměřil na porozumění různým technikám, které správci používají ke kompromitaci strojů. Zde je několik věcí, které jejich úsilí pomohlo objevit:

Dejte si pozor na internetový přenos chatu (IRC)

Většina botnetů používá Internet Relay Chat (IRC) jako rámec příkazů a řízení. Zdrojový kód pro IRC je snadno dostupný. Nové a nezkušené botmastery tedy využívají IRC provoz k šíření jednoduchých botnetů.

Mnoho netušících uživatelů nerozumí potenciálním rizikům připojení se k chatovací síti, zejména pokud jejich stroj není chráněn před zneužitím nějakou formou systému prevence narušení.

Význam systému detekce narušení

Systém detekce narušení je nedílnou součástí sítě. Udržuje historii výstrah z nasazeného nástroje pro správu internetového zabezpečení a umožňuje nápravu počítačového systému, který utrpěl útok botnetem. Detekční systém umožňuje výzkumníkovi zabezpečení vědět, co botnet dělal. Pomáhá také určit, jaké informace byly ohroženy.

Všichni botmasters nejsou počítačoví geekové

Na rozdíl od předpokladu mnoha, provoz botnetu nevyžaduje pokročilé počítačové zkušenosti ani odborné znalosti kódování a vytváření sítí. Tam jsou botmasters, kteří jsou opravdu důvtipní na jejich činnosti, ale jiní jsou prostě amatéři. V důsledku toho jsou některé roboty vytvořeny s větší odborností než jiné. Při navrhování obrany pro síť je důležité mít na paměti oba typy útočníků. Ale pro všechny z nich je hlavním motivátorem snadné získávání peněz s minimálním úsilím. Pokud síť nebo stroj trvá příliš dlouho, než dojde ke kompromisu, botmaster přejde k dalšímu cíli.

Důležitost vzdělávání pro zabezpečení sítě

Snahy o zabezpečení jsou účinné pouze při vzdělávání uživatelů. Správci systému obvykle opravují exponované počítače nebo zavádějí IPS, aby chránili stroj před zneužitím. Pokud však uživatel není dobře informován o různých způsobech, jak se vyhnout bezpečnostním hrozbám, jako jsou botnety, je účinnost i nejnovějších bezpečnostních nástrojů omezená.

Uživatel musí být neustále informován o bezpečném chování. To znamená, že podnik musí zvýšit rozpočet na vzdělávání uživatelů, pokud má snížit zranitelnost vůči hostování spamových serverů, krádeží dat a dalších počítačových hrozeb.

Botnety se často vyskytují jako zvláštnosti v síti. Pokud je přenos z jednoho nebo více strojů v síti odlišný od ostatních, mohlo dojít ke kompromitaci stroje. U IPS je snadné odhalit zranitelnost botnetu, ale je důležité, aby uživatel věděl, jak detekovat výstrahy poskytované bezpečnostními systémy, jako je IPS. Výzkumní pracovníci zabývající se bezpečností by si také měli být vědomi upozornění strojů, které sdílejí určité zvláštní chování.