Miten organisaatiot voivat lieventää bottiverkkohyökkäyksiä

Laaja Kiinan tukema botnet-kampanja, jossa satojatuhansia Internetiin kytkettyjä laitteita aseistettiin maailmanlaajuisesti erilaisiin haitallisiin toimiin, on korostanut ohjelmistojen pitämisen ajan tasalla ja tuotteiden korvaamisen tärkeyttä niiden tullessa käyttöikänsä päähän. Mutta kun bottiverkkojen määrä ja kehittyneisyys lisääntyvät, mitä muuta organisaatiot voivat oppia tästä tapauksesta?

Mitä tapahtui

Syyskuussa Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) ja sen kumppanit Yhdysvalloissa, Australiassa, Kanadassa ja Uudessa-Seelannissa julkaisivat neuvoa-antava varoitusorganisaatioKiinaan linkitetystä bottiverkosta, jota käytetään DDoS (Distributed Denial of Service) -hyökkäyksien käynnistämiseen, haittaohjelmien levittämiseen, arkaluontoisten tietojen varastamiseen ja muihin haitallisiin toimiin.

Bottiverkko vaaransi yli 260,000 XNUMX Internetiin kytkettyä laitetta Amerikassa, Euroopassa, Afrikassa, Kaakkois-Aasiassa ja Australiassa. Näitä olivat reitittimet, palomuurit, web-kamerat, CCTV-kamerat ja muut laitteet, joista monet jäivät alttiiksi kyberturvallisuusrikkomuksille, koska ne olivat vanhentuneet tai korjaamatta.

Neuvonnassa väitetään, että kiinalainen Integrity Technology Group -niminen yritys, jolla uskotaan olevan yhteyksiä Kiinan hallitukseen, kontrolloi ja hallinnoi bottiverkkoa. Samaan aikaan kiinalainen uhkatekijä Flax Typhoon on hyödyntänyt botnet-verkkoa haitallisissa toimissa.

Haittaohjelman takana olevat henkilöt käyttivät Mirai-botnet-koodia murtautuakseen näihin laitteisiin ja aseistaakseen niitä haitallista toimintaa varten. Mirai tähtää Linux-käyttöjärjestelmällä toimiviin yhdistettyihin laitteisiin, ja MalwareMustDien kyberturvallisuustutkijat huomasivat sen ensimmäisen kerran elokuussa 2016.

Ken Dunham, Qualysin uhkien tutkimusyksikön (TRU) kyberuhkien johtaja, kuvailee Miraita "monimutkaiseksi botnet-järjestelmäksi", jota käytetään kyberuhkakampanjoissa "liittyen aloittamiseen, lähdekoodin julkaisemiseen ja erilaisiin muutoksiin hyökkäyksissä ja kohteissa". Hän lisää: "Mirai on edelleen voimakas botnet."

Bottiverkot eivät ole uusi ilmiö. Ne ovat olleet olemassa lähes kaksi vuosikymmentä, selittää Matt Aldridge, IT-tietoturvayrityksen OpenText Cybersecurityn tärkein ratkaisukonsultti. Hän kuitenkin sanoo, että tapaukset, joissa kansallisvaltiot käyttävät haitallisia teknologioita, kuten botnetteja, ovat "uudempi kehitys".

Tärkeimmät syyt

Sean Wrightin, petosten havaitsemisasiantuntijan Featuresspacen sovellussuojauspäällikön mukaan tämä viimeisin botnet-kampanja tartutti niin suuren määrän kansainvälisiä laitteita kolmesta pääsyistä.

Wright selittää, että ensimmäinen ongelma on, että monet näistä tuotteista olivat saavuttaneet elinkaarensa lopun, mikä tarkoittaa, että niiden valmistajat eivät enää julkaisseet tietoturvapäivityksiä. Mutta hän sanoo, että on saattanut olla tapauksia, joissa toimittajat eivät vain halunneet työstää tietoturvaongelmien korjauksia.

Hän sanoo, että toinen ongelma on se, että IoT-laitteiden laiteohjelmisto on "luonnollisesti epävarma ja täynnä tietoturvapuutteita, mikä tekee niistä helposti murtuvia. Lopuksi hän sanoo, että laitteet voivat olla haavoittuvia botnet-hyökkäyksille, koska loppukäyttäjä ei pysty toteuttamaan ohjelmistopäivityksiä.

Wright lisää: "He eivät joko tiedä miten tehdä, eivät ole tietoisia päivityksistä ja riskeistä tai yksinkertaisesti päättävät olla tekemättä. Näemme tämän lopputuloksen kerta toisensa jälkeen.”

Vaikka tuotteen valmistaja julkaisee säännöllisesti ohjelmistopäivityksiä ja tietoturvakorjauksia, OpenText Cybersecurityn Aldridge selittää, että kyberrikolliset käyttävät käänteistä suunnittelua hyödyntääkseen tietoturva-aukkoja ja ottaakseen liitettyjen laitteiden hallintaansa osana botnet-kampanjoita.

Dunham Qualys Threat Research Unitista uskoo, että Mirain "monimuotoinen" luonne on tämän bottiverkon ensisijainen syy. Hän selittää, että haitallinen koodi käyttää useiden vuosien arvoisia hyökkäyksiä "haavoittuvien laitteiden vaarantamiseen nopeasti, kun ajoitus on paras" ja "maksimoimaan". mahdollisuuksia levittää haittaohjelmia.

Keskeiset oppitunnit

Koska monet näistä laitteista olivat korjaamattomia, OpenText Cybersecurityn Aldridge sanoo, että tämän viimeisimmän botnet-kampanjan selvä opetus on, että ihmisten tulee aina pitää yhdistettyjen laitteidensa ajan tasalla.

Aldridgelle toinen tärkeä oppitunti on, että organisaatioiden tulee määrittää laitteet oikein ennen niiden käyttöönottoa. Hän uskoo, että tämä on avain liitettyjen laitteiden "maksimaalisen turvallisuuden" varmistamiseen. Aldridge selittää: "Jos yhteyksiä laitteeseen ei ole otettu käyttöön, on erittäin vaikeaa tehdä kompromisseja tai jopa löytää kyseinen laite."

Featuresspacen Wright suosittelee, että organisaatiot luovat laite- ja ohjelmistoluettelon. Seuraamalla säännöllisesti tuotepäivityssyötteitä osana tätä, hän sanoo, että organisaatiot eivät jää paitsi uusimmista päivityksistä.

Laitteita ostettaessa Wright neuvoo organisaatioita varmistamaan, että valmistaja tarjoaa riittävän tuen ja määrittelee selkeästi tuotteidensa käyttöiän. Ja kun laite ei enää ole tukikelpoinen, Wright lisää, että organisaatioiden tulisi vaihtaa ne mahdollisimman nopeasti.

Qualys Threat Research Unit (TRU) -yksikön Dunham toistaa Wrightin samankaltaisia ​​ajatuksia ja sanoo, että on selvää, että organisaatioiden on kehitettävä ja pantava täytäntöön seuraajasuunnitelma, jonka avulla ne voivat hallita kaikenlaisia ​​laitteisto- ja ohjelmistoriskejä "ajan mittaan".

"Varmista, että sinulla on vakaa CMDB [kokoonpanonhallintatietokanta] ja inventaario, johon voit luottaa, omaisuus, joka on luokiteltu ja joka tunnetaan sitä vastaan, ja EOL tunnistetaan ja hallitaan yrityksen riskipolitiikan ja -suunnitelman avulla", hän sanoo. "Poista EOL ja ei-tuetut käyttöjärjestelmälaitteistot ja -ohjelmistot tuotannosta vähentääksesi riskejä ja hyökkäyspintaa."

Muita toimenpiteitä

Voivatko organisaatiot ehkäistä botnettejä sen lisäksi, että ne päivittävät säännöllisesti yhdistettyjen laitteiden ohjelmistoja? OpenText Cybersecurityn Aldridge uskoo niin. Hän uskoo, että organisaatioiden tulisi myös tarkkailla laitteitaan ja järjestelmiään sääntöjenvastaisen liikenteen ja toiminnan merkkien varalta.

Hän suosittelee myös verkkojen segmentointia ja niiden suojaamista useiden suojakerrosten avulla ja lisää, että nämä vaiheet "vähentävät riskiä ja rajoittavat mahdollisen kompromissin vaikutusta".

Featuresspacen Wright on samaa mieltä siitä, että organisaatioiden on kiinnitettävä erityistä huomiota verkkonsa turvallisuuteen botnettien vähentämiseksi. Hän sanoo, että työkalut, kuten IPS (Intrusion Protection System) tai IDS (Intrusion Detection System), ilmoittavat käyttäjille mahdollisesta haitallisesta toiminnasta ja estävät sen.

Dunham of Qualys Threat Research Unit (TRU) kehottaa organisaatioita pohtimaan, onko niillä tarpeeksi vahva kyberpuolustus torjuakseen robottiverkkoja, kuten nollaluottamusarkkitehtuuria. Dunham sanoo, että näitä tulisi vahvistaa jatkuvalla toiminnan parannuksella ottamalla käyttöön violetti oppiminen, jolloin organisaatiot tehostavat kyberpuolustustaan ​​käyttämällä sekä hyökkääviä että puolustavia lähestymistapoja.

Toimialan puitteiden merkitys

Alan arvostetun ammattilaisen ottaminen käyttöön puitteet, kuten ISO 27001 auttaa myös organisaatioita kehittämään laajan ja ennakoivan kyberturvallisuuslähestymistavan bottiverkkojen ja muiden kyberuhkien estämiseksi milloin tahansa.

Featuresspacen Wright selittää, että toimialan puitteet tarjoavat organisaatioille vertailukohdan ja vaatimukset, joita ne voivat noudattaa vahvistaakseen kyberpuolustustaan ​​ja pienentääkseen kyberriskejä.

Hän lisää: ”Tämä auttaa myös potentiaalisia asiakkaita lisäämään luottamusta oikeaan turvavalvonta ovat paikoillaan."

OpenText Cybersecurityn Aldridge sanoo, että toimialakehyksen noudattamisen pitäisi auttaa organisaatioita ymmärtämään prosesseja ja käytäntöjä, jotka niiden on omaksuttava hankkiakseen, ottaakseen käyttöön, valvoakseen ja hävittääkseen laitteita turvallisesti.

Bottiverkoilla voi olla vakavia seurauksia uhreille tietovarkauksista DDoS-hyökkäyksiin. Ja jos et päivitä laitteitasi säännöllisesti tai käytät käytöstä poistettuja tuotteita, on olemassa kaikki mahdollisuudet, että uhkatekijä voi käyttää jotakin laitettasi tehdäkseen tällaisia ​​ilkeitä toimia.

Mutta tämän estäminen ei tarkoita vain reagoimista uhkiin, kun kuulet niistä; se edellyttää pitkäaikaista sitoutumista kyberturvallisuuteen, jota voidaan yksinkertaistaa alan puitteiden avulla.