Семальт: Розуміння діяльності Ботнету через проникнення ботнету

Ботнети - це одне з найбільших проблем ІТ-безпеки, з якими сьогодні стикаються користувачі комп'ютерів. Тисячі робочих майстрів працюють цілодобово, щоб уникнути дорожніх блоків безпеки, розроблених охоронними компаніями та іншими зацікавленими агенціями. Економіка ботнетів за своєю складністю надзвичайно зростає. У зв'язку з цим Френк Абаньял, менеджер із успішності клієнтів Semalt , хотів би розповісти вам про дивовижну практику комп'ютерної компанії Cisco.

В недавньому дослідженні дослідницької групи Cisco з безпеки було виявлено, що є ботмейстери, які заробляють до 10 000 доларів США на тиждень від діяльності бота. Завдяки такій мотивації для осіб, які були б зацікавлені в дотриманні злочину, мільярди нічого не підозрюючих користувачів комп'ютерів піддаються більшому ризику наслідків атак ботнетів.

Дослідницька команда Cisco у своїх дослідженнях, спрямованих на розуміння різних методик, які використовують ботмейстери для компромісу машин. Ось кілька речей, які їх зусилля допомогли виявити:

Остерігайтеся трафіку Інтернет-релейного чату (IRC)

Більшість ботнетів використовують Інтернет-релейний чат (IRC) в якості системи управління і управління. Вихідний код IRC легко доступний. Таким чином, нові та недосвідчені ботмейстери використовують IRC-трафік для поширення простих ботнетів.

Багато користувачів, які нічого не підозрюють, не розуміють потенційних ризиків приєднання до мережі чату, особливо коли їх машина не захищена від подвигів деякою формою системи запобігання вторгнень.

Важливість системи виявлення вторгнень

Система виявлення вторгнень є невід'ємною частиною мережі. Він зберігає історію оповіщень від розгорнутого інструменту управління безпекою Інтернету та дозволяє виправити комп'ютерну систему, яка зазнала атаки ботнету. Система виявлення дозволяє досліднику безпеки знати, що робить ботнет. Це також допомагає визначити, яка інформація була порушена.

Усі ботмейстери - це не комп’ютерні вигуки

Всупереч припущенню багатьох, запуск ботнету не вимагає передового досвіду роботи з комп'ютером або експертних знань щодо кодування та роботи в мережі. Є ботмейстери, які справді кмітливі у своїй діяльності, але інші просто аматори. Отже, деякі боти створюються з більшим володінням, ніж інші. Важливо пам’ятати обидва типи зловмисників при розробці засобів захисту для мережі. Але для всіх них основним мотиватором є отримання легких грошей з мінімальними зусиллями. Якщо мережа або машина забирає занадто багато часу для компромісу, ботмайстер переходить до наступної цілі.

Важливість освіти для безпеки мережі

Зусилля з безпеки ефективні лише при навчанні користувачів. Системні адміністратори, як правило, виправляють відкриті машини або розгортають IPS для захисту машини від подвигів. Однак якщо користувач недостатньо поінформований про різні способи уникнення загроз безпеці, таких як ботнети, ефективність навіть найновіших інструментів безпеки обмежена.

Користувача потрібно постійно навчати щодо безпечної поведінки. Це означає, що бізнес повинен збільшити свій бюджет на освіту користувачів, якщо він знизить свою вразливість до розміщення серверів спаму, крадіжок даних та інших кіберзагроз.

Ботні мережі часто трапляються як дивацтва в мережі. Якщо трафік однієї або декількох машин у мережі відрізняється від інших, ці машини можуть бути порушені. За допомогою IPS легко виявити вразливості ботнету, але користувачеві важливо знати, як виявити сповіщення, отримані системами безпеки, такими як IPS. Дослідники з питань безпеки також повинні насторожено помічати машини, які мають певну дивну поведінку.