Lytt til dette tipset som en mp3
Lytt til botnet fjerning: Oppdage botnet infeksjon og hindre re-infiltrasjon som en mp3 her
i dette tipset, vil vi kort diskutere hvordan botnett arbeid, og fokusere på hva bedrifter kan gjøre for å identifisere og hindre botnet aktivitet.
for år, botnets har utsatt forbrukere og firmaer, og botnet-angrep viser ingen tegn til å bremse. Delvis er dette fordi botnets har blitt bedre funksjonalitet og blir enklere å bruke ved mindre dyktige angripere.
I korte trekk, for de som ikke kan være kjent med hvordan et botnet fungerer, angripere begynne ved å finne en måte å installere skadelig programvare på et betydelig antall mål datamaskiner, ofte via ondsinnede lenker i e-post, på nettsider eller via sosiale nettverk plattformer. Dette malware gjør at angripere å sende instruksjoner til berørte datamaskiner, ukjent for sine eiere, å gjøre hva angriperne ønsker. Vanligvis er ressursene til tusenvis av infiserte datamaskiner samlet inn et botnet eller zombie datamaskin hæren, og den kombinerte datakraft gjør at angripere å kjøre en rekke ondsinnede aktiviteter.
Mer om botnets
Zeus botnet ikke viser tegn til falming. Faktisk, truer det nå et bredere omfang av organisasjoner utenfor banknæringen
ipTrust lanserer botnet deteksjon og IP omdømme tjenester
Video:.. Botnet forsker Joe Stewart diskuterer dagens trusselnivået presentert av botnet og hvordan du kan beskytte din bedrift fra DDoS og andre botnet-angrep
til tross for bransjens arbeid med å ". ta ned " botnett ved å eliminere deres kommando-og-kontroll-infrastruktur, samt pågående arbeidet med forbrukere og bedrifter til å forbedre sine sikkerhets, botnets og malware har avansert til å angripe nye områder for å oppnå sine ulovlige mål. Mens botnet tidligere målrettet Windows med direkte nettverksbaserte angrep, har de nå gått over til å angripe applikasjoner. Verre enda, vellykkede applikasjons angrep vanligvis krever minimal brukerinvolvering, som å besøke en nettside eller åpne en ondsinnet vedlegg.
Enterprise-wide identifisering og fjerning av botnett
Signs at en organisasjon kan ha flere maskiner infisert av et botnet inkluderer unormal nettverksaktivitet eller ujevn ytelse av klientsystemer. Avvik nettverk aktivitet kan omfatte en datamaskin kontakte et stort antall eksterne systemer, men angriperne har vanligvis innsett dette trekker oppmerksomheten raskt, så de prøver å redusere antall verter eller mengden data du sender utgående og bruker HTTP, HTTPS eller annen felles protokoller for å minimere gjenkjenning. Uberegnelig ytelse av klientsystemer kan omfatte spørsmål som treg ytelse, men dette er også blitt mindre vanlig, siden sluttbrukere kan rapportere treg ytelse resulterer i noen undersøke det lokale systemet. Bedrifter kan oppdage botnet infeksjon på sine nettverk via en kombinasjon av nettverksanalyse og korrelasjon med lokale systemlogger eller undersøkelser. En påvisning metode vil være å undersøke et lokalt system og sammenligne utgående nettverkstilkoblinger observert på nettverket til hva de verktøy som kjøres lokalt rapporterer. Alt som er observert på nettverket, men ikke rapportert på det lokale systemet, kan være kommando-og kontroll kanal eller data sendes ut av miljøet.
Den mest effektive deteksjonsmetode for et stort, distribuert nettverk er å bruke en dedikert nettverksverktøy som har tilgang til all Internett-trafikk for å identifisere mistenkelige pakker. Trafikken kan se ut som standard Web-data, men når en stor mengde data blir sendt utgående, spesielt av flere systemer, er det viktig å ha en metode for å identifisere en slik trafikk, og systemet (e) generering av den. Det er også mulig å identifisere mistenkelig trafikk ved å skanne for tilkoblinger fra IP-adresser i forbindelse med kjente botnet-kontrollere.
Når en bedrift har identifisert infiserte systemer, bør man slå til botnet fjerning, fordi, som nevnt ovenfor, kan botnets være brukes til en rekke av onde hensikter, blant annet å angripe interne systemer eller svindle deg. Standarden råd er å formatere og installere en infisert system, alltid den mest effektive metoden for å fjerne malware. Mens lokale systemet er under ombygging, bør den fjernes fra nettverket for å hindre videre smitte, og eksterne systemer infiserte lokale system kontaktet mens infisert bør også være blokkert for å hindre at andre potensielt infiserte lokale systemer fra å kontakte det eksterne systemet. Bedrifter kan redusere nedetiden ved ikke å lagre data på lokale systemer, og ved hjelp av standardisert system bygger og automatisert programvaredistribusjon.
Et annet alternativ er å gjenopprette et system fra en sikkerhetskopi for å få systemet tilbake i produksjon. Du kan prøve å manuelt fjerne malware eller bot programvare ved hjelp av antimalware, eller tilpassede verktøy - for eksempel de som tilbys av antimalware leverandører eller internt utviklet - kan være hensiktsmessig for systemer uten tilgang til sensitive data, men dette kan likevel føre til skadelig programvare eller en rootkit re-infisere et system. Generelt er det en bedre ide å formatere og reinstallere alle infiserte systemer.
Hva annet kan en bedrift gjøre?
Implementering av en håndfull av grunnleggende sikkerhetskontroller vil hindre mest botnet-angrep og er nødvendig som byggesteiner for avanserte kontroller, bør de grunnleggende kontrollene alene ikke klarer å inneholde trusselen. Disse grunnleggende sikkerhetskontroller bør inneholde:
Client-side antimalware programvare - Hver klient maskinen skal ha moderne antimalware programvare installert og oppdateres jevnlig, helst på en automatisert basis, eller andre lignende kontroller
Operativsystem herding - Hver klient. datamaskinen skal ha grunnleggende herding gjort, slik som å fjerne unødvendig programvare eller tjenester
Brannmurer -. Hver klient maskinen skal være beskyttet av et vertsbasert brannmur eller nettverksbrannmuren, eller potensielt både for ekte forsvar i dybden
Passende privilegium. nivåer for ansatte - Hver bruker må bare logge inn som en normal lav-privilegium bruker for standard aktiviteter
Riktig patch management -. Hver klient bør kjøre oppdatert og lappet programvare for å blokkere angrep som utnytter unpatched programvare
<. p> du kan også trenge å bruke avanserte kontroller hvis du har bedriftsapplikasjoner som krever deaktivere grunnleggende sikkerhetskontroller, for eksempel tilpassede applikasjoner som krever administrator-nivå privilegier å bruke. Disse avanserte kontrollene omfatter:
Dedicated antimalware eller antibotnet nettverk apparater - som Palo Alto Networks 'brannmur, Actiance Inc. Unified Security Gateways, den frie BotHunter verktøy eller andre - kan brukes til å identifisere og blokkere botnet for hele nettverket, uavhengig av kontrollene på plass på lokale systemer, for å gi et ekstra lag med beskyttelse
Sandkasser -. Disse kan brukes til å beskytte de mest brukte og mest risikable programmer, som nettlesere, PDF-lesere eller multimedia spillere fra å bli kompromittert av avsperring dem fra andre deler av systemet
Hvitlisting -. Denne teknikken kan hindre visse typer malware fra å infisere et system ved å plassere strenge begrensninger på hva et system er lov til å gjøre
Browser sikkerhet. verktøy - Disse verktøyene, som NoScript add-on for Firefox, Trusteer Inc. Rapport og andre, kan også brukes til å beskytte nettlesere mot utbytting
antiphishing verktøy -. Disse kan arbeide sammen med andre verktøy til beskytte mot målrettede e-post angrep mot brukere. I tillegg kan mange av disse sender sine logger til en sikkerhetsinformasjon og event management (SIEM) system for å identifisere avanserte angrep. Alle disse kontrollene bør evalueres, men som deres andre potensielle virkninger på et nettverk i form av ledelse og kompleksitet.
Men du bør identifisere en sak der grunnleggende sikkerhetskontroller ikke tilstrekkelig beskytte et infisert system (dvs. ground zero etter en botnet infeksjon), er det en god idé å gjøre en grundig undersøkelse for å finne ut hvilke kontrollere mislyktes og hvorfor, for å finne ut om flere avanserte kontroller må være implementert. Denne undersøkelsen kan sammenligne nettverkstrafikk til lokalt rapportert nettverkstilkoblinger, eller bruke rettsmedisinske undersøkelsesmetoder for å finne ut hvilke filer som ble opprettet, slettet eller endret i løpet av infeksjonen.
Konklusjoner
mens sikkerhetsforskere har tatt ned noen botnets i fjor, har botnets avansert og fortsatte å bedra flere forbrukere og bedrifter. Selskapene bør allerede ha grunnleggende sikkerhetskontroller for å minimere virkningen av botnets og andre angrep, og bør bruke eller investere i avanserte kontroller når det grunnleggende har mislyktes. Etter et botnet infeksjon, bør organisasjonene utføre en undersøkelse for å identifisere hva som styrer sviktet og hvilke endringer som må gjøres for å beskytte mot fremtidige angrep. Selskapene bør identifisere og fjerne botnett så raskt som mulig for å minimere angrep på andre systemer og elektroniske finansielle transaksjoner Anmeldelser
Om forfatteren:.
Nick Lewis (CISSP, GCWN) er en informasjonssikkerhet analytiker for en stor offentlig Vesten universitetet ansvarlig for risikostyring og støtter også den tekniske PCI compliance program. Nick fikk sin Master of Science in Information Assurance fra Norwich University i 2005 og tele fra Michigan State University i 2002. Før han begynte i sin nåværende organisasjon i 2009, Nick jobbet ved Children Hospital Boston, den primære pediatrisk universitetssykehus ved Harvard Medical School, som samt for Internet2 og Michigan State University. Han svarer også dine opplysninger sikkerhetstrussel spørsmål.