Nella lotta alla criminalità informatica, è logico che le aziende abbiano familiarità con le truffe utilizzate dai criminali informatici, come le botnet. Ciò include, tra le altre cose, sapere cos'è una botnet e Guardicore vorrebbe raggiungere questo obiettivo con un'enciclopedia botnet. Le informazioni in questo database di conoscenza dovrebbero essere continuamente aggiornate in modo che le campagne botnet attuali e passate siano ben documentate.
Botnet: infetto, dirottato e abusato
Botnet e botnet sono due termini usati come sinonimi per lo stesso processo: una botnet consiste in una rete di computer dirottati. I proprietari di questi computer dirottati di solito non ne hanno idea. Innanzitutto, il computer di destinazione che deve essere integrato nella botnet viene infettato da malware. Grazie a questo malware, l'attaccante può assumere il controllo del sistema: il computer reagisce come un robot, da cui il "bot".
I computer dirottati possono essere controllati tramite i cosiddetti server di comando e controllo (server C&C). Gli aggressori stessi che esercitano il controllo sulle botnet sono indicati come bot herder o master. Infatti, l'acquisizione di una macchina come parte della botnet è il risultato di una macchina scarsamente protetta: l'attaccante può quindi assumere il ruolo di amministratore. I dati possono quindi essere visualizzati, utilizzati in modo improprio e manipolati e anche il computer con tutte le sue funzioni e servizi può essere utilizzato in modo improprio per scopi criminali.
Anche i dispositivi mobili come smartphone o tablet sono a rischio
Pertanto, gli utenti di computer dirottati diventano involontariamente parte di queste attività criminali. I computer controllati da remoto vengono utilizzati per varie attività: spamming, archiviazione di file illegali, distribuzione di malware o persino attacchi DDoS.
Per inciso, non solo i computer rischiano di entrare a far parte di botnet, ma ogni dispositivo in rete con accesso a Internet. Qui ci riferiamo in particolare ai dispositivi IoT, che solitamente sono molto lontani dal livello di protezione dei comuni computer. Ma anche dispositivi mobili come smartphone o tablet possono essere dirottati e aggiunti botnet.
Botnet: suggerimenti e misure di protezione
A causa dell'immensa e sempre crescente diffusione dei dispositivi in rete, è molto probabile che aumenti anche il rischio di diffusione delle botnet. Come hai letto, dispositivi come computer o smartphone possono essere rilevati da falle di sicurezza nel software o da utenti disattenti o ignoranti. In conclusione, ciò significa che una combinazione di consapevolezza e misure tecniche riduce la probabilità di entrare involontariamente a far parte di una botnet. Dal punto di vista tecnico, ci sono queste misure:
- Aggiornamenti: esegui sempre gli aggiornamenti su tutti i tuoi dispositivi in modo tempestivo; Idealmente, automatizzi l'esecuzione degli aggiornamenti in modo che ci siano meno falle di sicurezza possibili nel software.
- Firewall: il firewall protegge una rete da accessi indesiderati dall'esterno. Il firewall è solitamente integrato nel router e fornisce protezione a livello di rete.
Software AV: utilizza un software antivirus sempre aggiornato. Scegli una soluzione anti-malware professionale con rilevamento del malware basato su firma e comportamento. - Monitoraggio: controlla i sistemi e il traffico di rete a intervalli regolari per scoprire eventuali infezioni il più rapidamente possibile. Attività sospette come le seguenti potrebbero indicare che il dispositivo appartiene a una botnet:
- Carichi Internet e di rete insolitamente elevati
- Volume estremamente aumentato di e-mail in uscita
- Invio di e-mail notevolmente ritardato, potenza di calcolo notevolmente ritardata
- Scansione massiccia di una o più porte dall'esterno
- Reclami di terze parti su e-mail di spam che si dice provengano dal proprio server di posta
Ha senso che le aziende siano fondamentalmente protette dagli attacchi DDoS e dallo spamming. È inoltre vantaggioso, sia per i privati che per le aziende, esaminare da vicino i dispositivi IoT utilizzati. Difficilmente esistono soluzioni anti-malware memorizzate localmente sul rispettivo dispositivo IoT. Serve quindi una soluzione in grado di rilevare il malware prima che possa raggiungere il dispositivo e che protegga anche le vulnerabilità dall'esterno. Qui, ad esempio, l'applicazione di patch virtuali sarebbe una buona idea: un web application firewall (WAF) può essere utilizzato per regolare chi può accedere all'applicazione in questione e come; le applicazioni da proteggere sono così al riparo da accessi indesiderati e/o dannosi. Fondamentalmente, tuttavia, l'applicazione di patch, ovvero l'eliminazione delle vulnerabilità, è migliore dell'applicazione di patch virtuali, ovvero il blocco di terze parti non autorizzate invece di correggere una vulnerabilità.
Enciclopedia delle botnet di Guardicore
Guardicore è un data center israeliano e una società di sicurezza cloud. L'Enciclopedia Botnet interna ha lo scopo di riassumere le minacce per le aziende in un luogo centrale e liberamente accessibile. Questa enciclopedia di botnet si basa sulla Guardicore Global Sensors Network; una rete di sensori di rilevamento distribuiti nei data center e negli ambienti cloud in tutto il mondo.
Questi sensori non solo possono registrare completamente i flussi di attacco, ma anche valutarli. Tutta questa conoscenza confluisce nell'enciclopedia delle botnet, che può essere utilizzata dai reparti IT, dai team di sicurezza, dai ricercatori o dalla comunità della sicurezza informatica per comprendere meglio e proteggersi dalle minacce. Le parti interessate possono trovare botnet tramite ricerca testuale libera o sfogliare le voci tramite indicatori di compromissione (IoC); ad esempio tramite indirizzo IP, nome file o nome servizio.
Maggiori informazioni su questo nel blog PSW-Group.de