Ботнеты становятся умнее
Когда речь заходит о каких бы то ни было видах киберзащиты, всегда дешевле предотвратить атаки и заражения, чем бороться с ними постфактум. Это утверждение особенно верно в случае ботнетов.
Что такое ботнет?
Ботнет – это, по сути, армия мини-программ; вредоносное программное обеспечение, предназначенное для проникновения в большое количество цифровых устройств, которое затем использует их для реализации разнообразных тактик.
Например, бот-сети могут быть запрограммированы для кражи данных или запуска огромных распределенных атак типа «отказ в обслуживании» (DDoS), и все это одновременно с потреблением электричества и вычислительной мощности, необходимых для этого процесса.
Большинство организаций стремятся обеспечить хотя бы некоторую кибербезопасность для защиты от этих угроз. Основные принципы системы корпоративной безопасности могут включать такие элементы как реализация наиболее эффективного выбора защиты от вредоносного ПО, настройка цифровых устройств и программного обеспечения с максимально усиленной защитой, насколько это в принципе возможно, и обеспечение максимально быстрого применения исправлений безопасности.
Тем не менее, даже если организация инвестирует средства в реализацию основ кибербезопасности, это все равно не является гарантией полностью свободной от ботов среды.
Как видно из кейсов всех крупных вторжений в ИТ-системы, попавших в заголовки газет, хакеры очень заинтересованы в том, чтобы оставаться незамеченными как можно дольше. Время задержки - это термин, который определяет продолжительность отрезка времени между первоначальным вторжением и моментом обнаружения.
Во многих случаях, включая кейсы Yahoo, Starwood и другие мега-нарушения, вы могли заметить, что время задержки измерялось не в часах, днях, неделях или даже месяцах - это были годы, прошедшие между первоначальным вторжением и возможным обнаружением.
Профессиональные хакеры делают своих ботов максимально скрытными, такие программы прячутся как можно лучше и взаимодействуют между собой максимально эффективно и незаметно.
Когда исследователи находят новые армии ботнетов, они часто делают это случайно и заявляют что-то вроде: «Мы наткнулись на аномалию данных», и лишь затем, в конце концов, прослеживают причину в виде внедренного ботнет.
Хотя сообщения ботнетов могут пытаться скрыть, в ботах главное то, что обычно им нужно общаться, чтобы работать. Такие ботнеты использовались для работы через командные и управляющие серверы. Это означало, что отключение связи между ботами и их серверами управления и контроля было достаточно, чтобы «обезглавить» бота и сделать его неспособным что-либо украсть или принять новые команды.
Тем не менее, новые ботнеты стали умнее. Им по-прежнему необходимо общаться, но теперь многие из них могут создавать динамические одноранговые сети.
Боты все еще нуждаются в инструкциях для работы, а также им нужны места назначения для отправки всего, что они украдут. Определите и заблокируйте эти маршруты, и ваши боты перестанут представлять для своего хозяина какую-либо ценность.
Проблема заключается в том, что не все организации используют или устанавливают технологии, которые могут обнаруживать и блокировать ботов. В то же время для тех немногих организаций, у которых есть бюджет и мотивация для усиления защиты от ботов, можно сделать многое.
Процесс начинается с повышения безопасности и защиты системы, которые предотвращают первоначальное заражение и блокируют ненужные разрешения доверия. Как уже говорилось ранее, предотвращение проблемы лучше, чем обнаружение свершившегося факта с последующими расходами на сдерживание и устранение угрозы. Существует огромная разница в эффективности многих продуктов безопасности, и, к сожалению, многие из решений с самым высоким маркетинговым бюджетом, далеко не самые эффективные.
Существуют также отличные технологии безопасности, функционирующие в режиме реального времени, которые могут обнаруживать, предупреждать или блокировать активность бот-сетей в режиме реального времени. Они работают путем постоянного анализа сетевого трафика и локальных системных журналов.
Если у вашей организации нет возможности выделить бюджет для мониторинга в режиме реального времени, то все равно стоит провести мониторинг устройств и проверить наличие подозрительных процессов, которые, вероятно, занимают много памяти - особенно, если пользователи жалуются на снижение скорости работы компьютеров. Это может быть индикатором компрометации, но обнаружить его получится только в случае, когда ботнет активен.
И если вам интересно, насколько опасны ботнеты, вспомните, что большая часть нашего внимания системных администраторов и специалистов по кибурбезопаснтсти связана с ботнетами, которые мы можем обнаружить и устранить из наших собственных сред. Однако развитие Интернета вещей и нарушение стандартов безопасности, присущие многим «умным» устройствам, означает, что в сети может быть достаточно ботнетов, чтобы полностью остановить работу Интернет. Единственное, что мешает этому случиться в настоящее время, это то, что подобный результат будет вредить самим хакерам, а вовсе не приносить им пользу. В конце концов, 2019 год может стать годом, когда доходы от киберпреступности достигнут триллиона долларов.