Semalt: Forstå A Botnets aktiviteter gjennom Botnet-infiltrasjon

Botnett er en av de største IT-sikkerhetsutfordringene datamaskinbrukere står overfor i dag. Tusenvis av botmestere jobber døgnet rundt for å unndra seg sikkerhetsveisperringer utviklet av sikkerhetsselskaper og andre berørte byråer. Botnetøkonomien, i sin kompleksitet, vokser enormt. I denne forbindelse vil Frank Abagnale, Semalt Customer Success Manager, fortelle deg om en fantastisk praksis fra Cisco datamaskinselskap.

I en fersk undersøkelse utført av et sikkerhetsforskningsgruppe fra Cisco, ble det funnet ut at det er botmestere som utgjør opptil 10 000 dollar i uken fra botaktiviteter. Med denne typen motivasjon til personer som vil være interessert i å få hendene inn i forbrytelsen, er milliarder av intetanende databrukere større risiko for effekten av botnetangrep.

Cisco-forskerteamet, i sin forskning, hadde som mål å forstå de forskjellige teknikkene botmasters bruker for å kompromittere maskiner. Her er noen få ting som deres innsats hjalp til med å oppdage:

Pass på Internett-reléchat (IRC) -trafikk

De fleste botnett bruker Internet Relay Chat (IRC) som kommando-og-kontroll-rammeverk. Kildekode for IRC er lett tilgjengelig. Dermed bruker nye og uerfarne botmasters IRC-trafikk for å spre enkle botnett.

Mange intetanende brukere forstår ikke den potensielle risikoen ved å bli med i et nettpratnettverk, spesielt når deres maskin ikke er beskyttet mot utnyttelse av en eller annen form for inntrengningssikringssystem.

Betydningen av et inntrengingsdeteksjonssystem

Et inntrengingsdeteksjonssystem er en integrert del av et nettverk. Det holder en historie med varsler fra et distribuert verktøy for sikkerhetsadministrasjon for internett og gir mulighet for utbedring av et datasystem som har fått et botnetangrep. Deteksjonssystemet gjør det mulig for sikkerhetsforskeren å vite hva botnet gjorde. Det hjelper også med å finne ut hvilken informasjon som er blitt kompromittert.

Alle botmasters er ikke data geeks

I motsetning til antagelsen for mange, krever ikke å kjøre et botnet avansert datamaskinerfaring eller ekspertkunnskap om koding og nettverk. Det er botmestere som virkelig er kunnskapsrike på sine aktiviteter, men andre er ganske enkelt amatører. Følgelig opprettes noen roboter med større ferdigheter enn andre. Det er viktig å huske på begge typer angripere når du designer forsvar for et nettverk. Men for dem alle får den viktigste motivatoren enkle penger med minimal innsats. Hvis et nettverk eller maskin tar for lang tid å gå på akkord, går en botmaster videre til neste mål.

Utdanning viktig for nettverkssikkerhet

Sikkerhetsinnsats er bare effektivt med brukeropplæring. Systemadministratorer plaster ofte eksponerte maskiner eller distribuerer en IPS for å beskytte maskinen mot utnyttelse. Hvis brukeren ikke er godt informert om de forskjellige måtene å unngå sikkerhetstrusler som for eksempel botnett, er effektiviteten til selv de nyeste sikkerhetsverktøyene begrenset.

Brukeren må stadig læres opp om trygg oppførsel. Dette betyr at en virksomhet må øke budsjettet for brukerutdanning hvis den skal redusere sårbarheten for hosting av spam-servere, datatyveri og andre cybertrusler.

Botnett forekommer ofte som oditeter i et nettverk. Hvis trafikk fra en eller flere maskiner i et nettverk skiller seg ut fra de andre, kan maskinen (e) bli kompromittert. Med en IPS er det enkelt å oppdage botnet-sårbarheter, men det er viktig for brukeren å vite hvordan han oppdager varsler gitt av sikkerhetssystemer som IPS. Sikkerhetsforskere bør også holde våken for å merke maskiner som deler en viss merkelig oppførsel.