У боротьбі з кіберзлочинністю компаніям доцільно бути знайомими з шахрайством, яким користуються кіберзлочинці, наприклад, ботнетами. Це включає, серед іншого, знання того, що таке ботнет – і Guardicore хоче досягти цього за допомогою ботнет-енциклопедії. Інформацію в цій базі даних необхідно постійно оновлювати, щоб поточні та минулі ботнет-кампанії були добре задокументовані.
Ботнет - заражений, захоплений і зловживаний
Ботнет і ботнет — це два терміни, які використовуються як синоніми для одного процесу: ботнет складається з мережі зламаних комп’ютерів. Власники цих зламаних комп’ютерів зазвичай не мають жодного уявлення. По-перше, цільовий комп’ютер, який потрібно інтегрувати в ботнет, заражений шкідливим програмним забезпеченням. Завдяки цій шкідливій програмі зловмисник може отримати контроль над системою – комп’ютер реагує роботоподібно, отже, «бот».
Викраденими комп’ютерами можна керувати за допомогою так званих командно-контрольних серверів (C&C servers). Самі зловмисники, які контролюють бот-мережі, називаються пастухами ботів або господарями. Насправді захоплення машини як частини ботнету є результатом погано захищеної машини: тоді зловмисник може взяти на себе роль адміністратора. Потім дані можна переглядати, зловживати ними та маніпулювати ними, а комп’ютер з усіма його функціями та службами також можна використовувати зловживати в злочинних цілях.
Мобільні пристрої, такі як смартфони або планшети, також знаходяться в зоні ризику
Таким чином, користувачі зламаних комп’ютерів ненавмисно стають частиною цієї злочинної діяльності. Комп’ютери з дистанційним керуванням використовуються для різноманітних дій: спаму, зберігання нелегальних файлів, розповсюдження шкідливого програмного забезпечення або навіть DDoS-атак.
До речі, не лише комп’ютери ризикують стати частиною ботнетів, а й усі мережеві пристрої, які мають доступ до Інтернету. Тут ми маємо на увазі, зокрема, пристрої IoT, які зазвичай дуже далекі від рівня захисту звичайних комп’ютерів. Але мобільні пристрої, такі як смартфони чи планшети, також можуть бути захоплені та додані ботнети.
Ботнети: поради та заходи захисту
Через величезне та постійно зростаюче поширення мережевих пристроїв існує висока ймовірність того, що ризик поширення ботнетів також зростає. Як ви вже читали, такі пристрої, як комп’ютери чи смартфони, можуть бути захоплені прогалинами безпеки в програмному забезпеченні або неуважними чи необізнаними користувачами. На завершення це означає, що поєднання обізнаності та технічних заходів зменшує ймовірність стати частиною ботнету ненавмисно. З технічної сторони є такі заходи:
- Оновлення: завжди своєчасно запускайте оновлення на всіх своїх пристроях; В ідеалі ви автоматизуєте виконання оновлень, щоб у програмному забезпеченні було якомога менше прогалин у безпеці.
- Брандмауер: брандмауер захищає мережу від небажаного доступу ззовні. Брандмауер зазвичай інтегрований у маршрутизатор і забезпечує захист усієї мережі.
Програмне забезпечення AV: використовуйте антивірусне програмне забезпечення, яке завжди оновлюється. Виберіть професійне рішення для захисту від зловмисного програмного забезпечення з виявленням зловмисного програмного забезпечення на основі сигнатур і поведінки. - Моніторинг: регулярно перевіряйте системи та мережевий трафік, щоб якнайшвидше виявити будь-яке зараження. Підозріла активність, наприклад наведена нижче, може вказувати на те, що пристрій належить до ботнету:
- Незвично високе навантаження на Інтернет і мережу
- Надзвичайно збільшений обсяг вихідних електронних листів
- Значна затримка надсилання електронної пошти, значна затримка обчислювальної потужності
- Масове сканування одного або кількох портів ззовні
- Скарги від третіх осіб щодо електронних листів зі спамом, які нібито надійшли з їх власного сервера електронної пошти
Компанії має сенс бути фундаментально захищеними від DDoS-атак і спаму. Також корисно - як для приватних осіб, так і для компаній - уважно подивитися на використовувані пристрої IoT. Рішення для захисту від зловмисного програмного забезпечення, які зберігаються локально на відповідному пристрої IoT, навряд чи існують. Тому потрібне рішення, яке здатне виявляти зловмисне програмне забезпечення до того, як воно досягне пристрою, а також захищає вразливі місця ззовні. Ось, наприклад, гарною ідеєю буде віртуальне латання: брандмауер веб-програми (WAF) можна використовувати для регулювання того, хто і як може отримати доступ до відповідної програми; Таким чином програми, які потрібно захистити, захищені від небажаного та/або зловмисного доступу. Однак загалом виправлення – тобто виправлення вразливостей – краще, ніж віртуальне виправлення – блокування неавторизованих третіх сторін замість виправлення вразливості.
Енциклопедія ботнетів від Guardicore
Guardicore — це ізраїльська компанія з безпеки центрів обробки даних і хмарних технологій. Внутрішня ботнет-енциклопедія призначена для узагальнення загроз для компаній у центральному та вільнодоступному місці. Ця ботнет-енциклопедія заснована на Guardicore Global Sensors Network; мережа датчиків виявлення, розгорнута в центрах обробки даних і хмарних середовищах по всьому світу.
Ці датчики можуть не тільки повністю фіксувати потоки атак, але й оцінювати їх. Усі ці знання входять до енциклопедії ботнету, яку можуть використовувати ІТ-відділи, групи безпеки, дослідники або спільнота кібербезпеки для кращого розуміння загроз і захисту від них. Зацікавлені сторони можуть знаходити ботнети за допомогою вільного текстового пошуку або переглядати записи за допомогою індикаторів компромісу (IoC); наприклад, за IP-адресою, назвою файлу або назвою служби.
Більше про це в блозі PSW-Group.de