Hoe organisasies Botnet-aanvalle kan versag

'n Uitgebreide Chinese-gesteunde botnet-veldtog wat honderde duisende internet-gekoppelde toestelle wêreldwyd vir verskeie kwaadwillige aksies bewapen het, het die belangrikheid beklemtoon om sagteware op datum te hou en produkte te vervang wanneer hulle die einde van die lewe bereik. Maar namate botnets steeds in getal en gesofistikeerdheid toeneem, wat anders kan organisasies uit hierdie voorval leer?

Wat het gebeur

In September het die VK se Nasionale Kuberveiligheidsentrum (NCSC) en sy vennote in die Verenigde State, Australië, Kanada en Nieu-Seeland uitgereik 'n adviserende waarskuwingsorganisasies oor 'n China-gekoppelde botnet wat gebruik word om DDoS-aanvalle (Distributed Denial of Service) te loods, wanware te versprei, sensitiewe data te steel en ander kwaadwillige aksies uit te voer.

Die botnet het meer as 260,000 XNUMX internetgekoppelde toestelle in die Amerikas, Europa, Afrika, Suidoos-Asië en Australië in gevaar gestel. Dit het roeteerders, brandmure, webkameras, CCTV-kameras en ander toestelle ingesluit, waarvan baie kwesbaar gelaat is vir kubersekuriteitsoortredings omdat dit aan die einde van die lewe of nie herstel is nie.

Die advies beweer dat 'n Chinese-gebaseerde maatskappy genaamd Integrity Technology Group, wat vermoedelik verbindings met die Chinese regering het, die botnet beheer en bestuur het. Intussen het die Chinese bedreigingsakteur Flax Typhoon die botnet in kwaadwillige aktiwiteite gebruik.

Diegene agter die wanware het Mirai-botnetkode gebruik om by hierdie toestelle in te kap en hulle te wapen vir kwaadwillige aktiwiteite. Mirai teiken gekoppelde toestelle wat op die Linux-bedryfstelsel werk en is in Augustus 2016 vir die eerste keer deur kuberveiligheidsnavorsers by MalwareMustDie opgemerk.

Ken Dunham, direkteur van kuberbedreiging by Qualys Threat Research Unit (TRU), beskryf Mirai as 'n "komplekse botnetstelsel" wat gebruik word vir kuberbedreigingsveldtogte "wat verband hou met die begin, vrystelling van bronkode, en verskeie veranderinge in aanvalle en teikens". Hy voeg by: "Mirai bly 'n kragtige botnet."

Botnets is geensins 'n nuwe verskynsel nie. Hulle bestaan ​​al byna twee dekades, verduidelik Matt Aldridge, hoofoplossingskonsultant by die IT-sekuriteitsfirma OpenText Cybersecurity. Maar hy sê gevalle van nasiestate wat kwaadwillige tegnologieë soos botnets gebruik, is "'n meer onlangse ontwikkeling".

Die hoofoorsake

Volgens Sean Wright, hoof van toepassingsekuriteit by bedrogopsporingspesialiste Featurespace, het hierdie jongste botnetveldtog so 'n groot aantal internasionale toestelle om drie hoofredes besmet.

Wright verduidelik dat die eerste probleem is dat baie van hierdie produkte die einde van hul lewensiklus bereik het, wat beteken dat hul vervaardigers nie meer sekuriteitsopdaterings uitreik nie. Maar hy sê daar was dalk gevalle waar verkopers net nie aan pleisters vir sekuriteitskwessies wou werk nie.

Hy sê die tweede probleem is dat die firmware van IoT-toestelle “inherent onseker en vol sekuriteitsfoute is, wat dit maklik deurbreekbaar maak. Ten slotte sê hy toestelle kan kwesbaar word vir botnetaanvalle omdat die eindgebruiker nie daarin slaag om sagteware-opdaterings te implementeer nie.

Wright voeg by, "Of hulle is nie vertroud met hoe om nie, onbewus van die opdaterings en die risiko, óf kies eenvoudig om nie. Ons sien die eindresultate hiervan keer op keer.”

Selfs al stel 'n produkvervaardiger gereeld sagteware-opdaterings en sekuriteitskolle vry, Aldridge van OpenText Cybersecurity verduidelik dat kubermisdadigers omgekeerde ingenieurswese gebruik om sekuriteitskwesbaarhede te ontgin en beheer oor gekoppelde toestelle te neem as deel van botnet-veldtogte.

Dunham van Qualys Threat Research Unit glo dat die "diverse" aard van Mirai 'n primêre oorsaak van hierdie botnet is, en verduidelik dat die kwaadwillige kode etlike jare se uitbuitings gebruik om "vinnig kwesbare toestelle in gevaar te stel wanneer tydsberekening die beste is" en om "maksimeer geleenthede om die wanware te versprei.

Sleutellesings

Aangesien baie van hierdie toestelle nie opgepas is nie, sê Aldridge van OpenText Cybersecurity 'n duidelike les uit hierdie jongste botnet-veldtog is dat mense altyd hul gekoppelde toestelle moet opdateer.

Vir Aldridge is nog 'n kritieke les dat organisasies toestelle behoorlik moet konfigureer voordat hulle dit ontplooi. Hy glo dit is die sleutel om die "maksimum sekuriteit" van gekoppelde toestelle te verseker. Aldridge verduidelik: "As verbindings met 'n toestel nie geaktiveer is nie, word dit uiters moeilik om 'n kompromie aan te gaan, of selfs om daardie toestel te ontdek."

Wright van Featurespace beveel aan dat organisasies 'n toestel- en sagteware-voorraad skep. Deur gereeld produkopdateringvoere as deel hiervan te monitor, sê hy organisasies sal nie die jongste opdaterings mis nie.

By die aankoop van toestelle, raai Wright organisasies aan om te verseker dat die vervaardiger voldoende ondersteuning bied en duidelik die lewensduur van sy produkte omskryf. En wanneer 'n toestel nie meer vir ondersteuning in aanmerking kom nie, voeg Wright by dat organisasies dit so vinnig as moontlik moet vervang.

Dunham van Qualys Threat Research Unit (TRU) weerspieël soortgelyke gedagtes as Wright en sê dit is duidelik dat organisasies 'n opvolgplan moet ontwikkel en implementeer wat hulle in staat stel om alle vorme van hardeware- en sagtewarerisiko's "met verloop van tyd" te bestuur.

"Sorg dat jy 'n rotsvaste CMDB [konfigurasiebestuurdatabasis] en voorraad in plek het wat jy kan vertrou, bates wat daarteen geklassifiseer en bekend is, en EOL word geïdentifiseer en bestuur deur 'n maatskappyrisikobeleid en -plan," sê hy. "Verwyder EOL en nie-ondersteunde OS-hardeware en -sagteware uit produksie om risiko en aanvaloppervlak die beste te verminder."

Ander stappe om te neem

Benewens die gereelde opdatering van die sagteware van gekoppelde toestelle, is daar enige ander maniere waarop organisasies botnets kan voorkom? OpenText Cybersecurity se Aldridge glo so. Hy glo dat organisasies ook hul toestelle en stelsels moet monitor vir tekens van onreëlmatige verkeer en aktiwiteite.

Hy beveel ook aan om netwerke te segmenteer en te beveilig met behulp van veelvuldige beskermende lae, en voeg by dat hierdie stappe "die risiko sal verminder en die impak van 'n potensiële kompromie sal beperk."

Wright van Featurespace stem saam dat organisasies ekstra aandag aan hul netwerksekuriteit moet gee om botnets te versag. Hy sê nutsmiddels soos IPS (Intrusion Protection System) of IDS (Intrusion Detection System) sal gebruikers in kennis stel van potensiële kwaadwillige aktiwiteit en dit blokkeer.

Dunham van Qualys Threat Research Unit (TRU) doen 'n beroep op organisasies om te oorweeg of hulle sterk genoeg kuberverdediging het om botnets aan te pak, soos nul-trust-argitektuur. Dunham sê dit moet versterk word met voortdurende bedryfsverbeterings deur pers leer te omhels, waardeur organisasies hul kuberverdediging 'n hupstoot gee deur beide offensiewe en defensiewe benaderings te gebruik.

Die belangrikheid van nywerheidsraamwerke

Aanneming van 'n industrie-erkende professionele persoon raamwerk soos ISO 27001 sal ook organisasies help om 'n breë en proaktiewe kuberveiligheidsbenadering te ontwikkel om botnets en ander kuberbedreigings te eniger tyd te voorkom.

Wright van Featurespace verduidelik dat bedryfsraamwerke organisasies voorsien van 'n maatstaf en stel vereistes wat hulle kan volg om hul kuberverdediging te versterk en kuberrisiko te verlaag.

Hy voeg by: “Dit help ook potensiële kliënte om 'n groter mate van vertroue te hê dat die toepaslike sekuriteitskontroles in plek is.”

Aldridge van OpenText Cybersecurity sê die nakoming van 'n bedryfsraamwerk moet organisasies help om die prosesse en beleide te verstaan ​​wat hulle moet aanneem om toestelle veilig te bekom, te ontplooi, te monitor en weg te gooi.

Botnets kan ernstige gevolge vir slagoffers hê, van datadiefstal tot DDoS-aanvalle. En as jy versuim om jou toestelle gereeld op te dateer of einde-van-lewe produkte gebruik, is daar elke kans dat 'n bedreigingsakteur een van jou toestelle kan gebruik om sulke onheilspellende aksies uit te voer.

Maar om te verhoed dat dit gebeur, is nie net 'n geval van reaksie op dreigemente soos jy daarvan hoor nie; dit vereis 'n langtermynverbintenis tot kuberveiligheid, wat deur bedryfsraamwerke vereenvoudig kan word.