Botnety są podstępne. Stanowią niewidzialną, stale rosnącą i polimorficzną „armię”, przed którą muszą bronić administratorzy sieci korporacyjnych. Chociaż istnieją pewne uzasadnione i korzystne zastosowania botnetów, zbyt często są one wykorzystywane do złośliwych celów. W tym drugim scenariuszu zwykle komputer zostaje zainfekowany rodzajem złośliwego oprogramowania, które następnie próbuje skontaktować się z serwerem kontrolnym (lub być może z innymi botami, które może wykryć). Bot zwykle próbuje rozprzestrzenić się na pobliskie komputery, czekając na instrukcje od głównego kontrolera (znanego jako botmaster).
Wektory początkowej infekcji komputera złośliwym oprogramowaniem typu bot są tak samo różnorodne, jak w przypadku każdego innego złośliwego oprogramowania. Nieaktualne oprogramowanie, szybkie pobieranie plików, e-maile phishingowe, a nawet Facebook i nośniki USB to potencjalne drogi infekcji.
Zagrożenia ze strony sieci botnet dla przedsiębiorstw
Podczas gdy silne zasady bezpieczeństwa mogą chronić przed wieloma infekcjami botnetów, potencjalne szkody lub straty spowodowane botnetem są głównym problemem dla administratorów sieci. Na przykład botnet może uzyskać pełną kontrolę nad siecią. Oczywiście problemem są również oprogramowanie ransomware, wewnętrzny phishing i eksfiltracja danych. Jednak nawet botnety wykorzystywane do ataków DDoS, wydobywania kryptowalut, oszustw związanych z kliknięciami lub spamem mogą wiązać się z dużymi kosztami dla przedsiębiorstwa w zakresie zużycia energii, zablokowania zasobów komputerowych (a tym samym obniżenia produktywności), a nawet zniszczenia reputacji IP.
Urządzenia IoT to kolejny obszar szczególnej uwagi, ponieważ często nie mają one najlepszych funkcji bezpieczeństwa, a nawet mogą nie mieć możliwości zdalnej aktualizacji (szkodliwe oprogramowanie botnetu Mirai w szczególności atakuje urządzenia IoT).
Walka ze złośliwymi botnetami nie ma końca. Nawet, gdy władze i inne „białe kapelusze” wzmagają próby powstrzymania złośliwych botnetów, twórcy botnetów opracowują coraz bardziej wyrafinowane sposoby unikania wykrywania i usuwania.
Sterowanie i kontrola botnetu
Kluczem do obrony przed złośliwymi botnetami jest ich struktura. Każdy botnet ma co najmniej jednego botmastera, który wydaje rozkazy za pośrednictwem pewnego rodzaju struktury dowodzenia i kontroli (C&C/C2). Polecenia C&C mogą być wydawane na przykład za pośrednictwem HTTP, DNS, Telnet, internetowego czatu (IRC) lub za pośrednictwem usługi ukrytej, takiej jak sieć ToR. Nowsze botnety wykorzystują układ peer-to-peer (P2P), w którym polecenia są wysyłane do dowolnego z botów, a następnie rozprzestrzeniają się na wszystkie inne boty w botnecie. Dlatego, jeśli potrafisz „odciąć głowę” botnetu, tj. Jego komunikację C&C, możesz skutecznie go wyłączyć, zabezpieczyć sieć przed dalszą infiltracją i atakami, a następnie przystąpić do naprawy zaatakowanych komputerów.
Przedstawiamy Botnet C&C Protection od Edge do Cloud
Niedawne wydanie Hillstone StoneOS, wersja 5.5R8, oferuje ulepszenia dzięki wyrafinowanym zabezpieczeniom, które pomagają wykrywać i zapobiegać komunikacji C&C, a tym samym obezwładniać botnety. Wydany w grudniu 2020 roku najnowszy StoneOS zapewnia ulepszoną i udoskonaloną ochronę dla zapór sieciowych następnej generacji Hillstone E-Series i T-Series, wirtualnej platformy NGFW CloudEdge, a teraz także zapór sieciowych nowej generacji dla Data Center z serii X.
Poniższe ulepszenia StoneOS zapewniają kompleksową ochronę przed botnetami w sieciach hybrydowych i obejmują:
- Solidna platforma do ochrony centrum danych: wykrywanie C&C jest teraz w pełni obsługiwane na platformach zapór sieciowych X-Series dla Data Center. Dzięki Hillstone X-Series administratorzy mogą chronić centrum danych, monitorując lub przerywając połączenia C&C od wartwy L3 do L7. Ponadto funkcje te są obsługiwane przez nową zaporę sieciową opartą na maszynach wirtualnych CloudEdge, model VM08, która spełnia wymagania związane z wysokowydajnymi wirtualnymi obciążeniami o dużej przepustowości i surowymi wymaganiami SLA typowymi dla centrów danych, zapewniając administratorom jeszcze większą elastyczność wdrażania.
- Wykrywanie algorytmów generowania domeny (DGA) również zostało ulepszone i dodane do zapór sieciowych dla centrum danych serii X. Wykrywanie DGA jest ważnym mechanizmem obronnym dla administratorów, ponieważ zainfekowane hosty często generują losowo pseudo domeny, w tym nazwy domen serwera C&C. To ulepszenie automatycznie wykrywa i zapobiega tego typu ruchowi, dodatkowo wzmacniając mechanizmy obronne.
- Ulepszona, spersonalizowana lista dostępu C&C botnetu umożliwia administratorom blokowanie podejrzanej komunikacji botnetu. Ponadto administratorzy mogą dynamicznie dostosowywać listę dostępu, aby zezwalać lub blokować ruch w oparciu o adres IP lub nazwę domeny. Dołączona baza sygnatur, stale aktualizowana, daje administratorom sieci możliwość blokowania komunikacji C&C od wielu znanych operatorów botnetów.
- Ulepszona obsługa lejów DNS (DNS sinkhole to serwer DNS, który wysyła fałszywe wyniki do systemów szukających informacji DNS): teraz może automatycznie kierować błędne odpowiedzi DNS do bezpiecznej lokalizacji, w której administratorzy IT mogą zastosować inne specjalistyczne narzędzia do analizy bezpieczeństwa. Zapobiega to łączeniu się z potencjalnie złośliwymi miejscami docelowymi, które mogłyby zostać wykorzystane do komunikacji C&C. Administratorzy otrzymują również szczegółowe statystyki dziennika zagrożeń dotyczące żądań dostępu do DNS z fałszywymi wynikami w celu dalszego zbadania i naprawienia.
- Zaawansowane wykrywanie tunelowania DNS - nowość dla wszystkich zapór sieciowych firmy Hillstone - chroni sieć przed wyciekiem danych i próbami eksfiltracji. Atakujący mogą kodować dane przedsiębiorstwa w wiadomościach żądań DNS, próbując ominąć uwierzytelnianie sieciowe lub blokowanie na firewallu. Zapory sieciowe Hillstone wykrywają ten rodzaj ruchu za pomocą wielu wskaźników i metod w celu ochrony przed tego typu exploitami.
Dostępne jest krótkie demo techniczne: https://www.hillstonenet.com/wp-content/uploads/Hillstone-Botnet-CC-demo.mp4
Zaktualizuj swój system do najnowszego StoneOS już dziś!
Hillstone StoneOS 5.5R8 zawiera ponad sto uaktualnień i ulepszeń, aby zapewnić najbardziej wszechstronne, elastyczne, niezawodne i łatwe w użyciu rozwiązanie zabezpieczające dla korporacyjnych centrów danych. Te możliwości są dostępne dla korporacyjnych zapór sieciowych NGFW Hillstone serii E oraz inteligentnych serii T (iNGFW), zapór sieciowych dla centrów danych serii X oraz wirtualnych NGFW Hillstone CloudEdge w centrach danych lub w chmurze. Te platformy bezpieczeństwa zapewniają przyszłą ochronę i intuicyjny interfejs użytkownika, od brzegu sieci firmowej aż po chmurę.
Wyprzedź stale zmieniający się krajobraz zagrożeń cybernetycznych, dokonując aktualizacji już dziś – skontaktuj się z nami, pomożemy w aktualizacji oraz testach rozwiązań Hillstone: security@s4e.pl
Zapraszamy do współpracy w zakresie innowacyjnych rozwiązań od Hillstone. Posiadamy park demo, inżynierów, certyfikowanego eksperta i trenera Hillstone, świadczymy pełen zakres usług przed- i posprzedażowych, by pomóc rozwinąć Twój biznes z Hillstone Networks.
Informacje o Hillstone Networks
Rozwiązania Hillstone Networks w zakresie bezpieczeństwa sieci korporacyjnych i zarządzania ryzykiem zapewniają widoczność, inteligencję i ochronę, aby zapewnić przedsiębiorstwom kompleksowy przegląd, dokładne zrozumienie i szybkie działanie przeciwko zagrożeniom cybernetycznym. Uznane przez czołowych analityków i cieszące się zaufaniem globalnych klientów, rozwiązania Hillstone obejmują całą sieć przedsiębiorstwa od brzegu do chmury, jednocześnie obniżając całkowity koszt posiadania. Aby dowiedzieć się więcej, odwiedź www.hillstonenet.com.
Zainteresowały Cię rozwiązania Hillstone?
Zapraszam do kontaktu
Marceli Matczak
Security / SDN Business Development Manager
+48 785 051 978
marceli.matczak@s4e.pl