Hvordan organisationer kan afbøde Botnet-angreb
Indholdsfortegnelse:
En omfattende kinesisk-støttet botnet-kampagne, der bevæbnede hundredtusindvis af internet-tilsluttede enheder globalt til forskellige ondsindede handlinger, har understreget vigtigheden af at holde software opdateret og erstatte produkter, når de når end-of-life. Men efterhånden som botnets fortsætter med at stige i antal og sofistikerede, hvad kan organisationer ellers lære af denne hændelse?
Hvad skete der
I september udstedte Storbritanniens National Cyber Security Center (NCSC) og dets partnere i USA, Australien, Canada og New Zealand en rådgivende advarselsorganisations om et Kina-linket botnet, der bruges til at lancere Distributed Denial of Service (DDoS)-angreb, distribuere malware, stjæle følsomme data og udføre andre ondsindede handlinger.
Botnettet kompromitterede mere end 260,000 internetforbundne enheder i Amerika, Europa, Afrika, Sydøstasien og Australien. Disse omfattede routere, firewalls, webkameraer, CCTV-kameraer og andre enheder, hvoraf mange blev efterladt sårbare over for cybersikkerhedsbrud på grund af deres udtjente eller ikke-patchede.
Rådgivningen hævder, at en kinesisk-baseret virksomhed kaldet Integrity Technology Group, som menes at have forbindelser til den kinesiske regering, kontrollerede og styrede botnettet. I mellemtiden har den kinesiske trusselskuespiller Flax Typhoon udnyttet botnettet i ondsindede aktiviteter.
Dem bag malwaren brugte Mirai botnet-kode til at hacke ind i disse enheder og bevæbne dem til ondsindede aktiviteter. Mirai er rettet mod tilsluttede enheder, der kører på Linux-operativsystemet og blev først opdaget af cybersikkerhedsforskere hos MalwareMustDie i august 2016.
Ken Dunham, direktør for cybertrussel ved Qualys Threat Research Unit (TRU), beskriver Mirai som et "komplekst botnet-system", der bruges til cybertrusselskampagner "relateret til start, frigivelse af kildekode og forskellige ændringer i angreb og mål". Han tilføjer: "Mirai fortsætter med at være et kraftfuldt botnet."
Botnets er på ingen måde et nyt fænomen. De har eksisteret i næsten to årtier, forklarer Matt Aldridge, hovedløsningskonsulent hos it-sikkerhedsfirmaet OpenText Cybersecurity. Men han siger, at tilfælde af nationalstater, der bruger ondsindede teknologier som botnets, er "en nyere udvikling".
Hovedårsagerne
Ifølge Sean Wright, chef for applikationssikkerhed hos specialister i bedrageriregistrering Featurespace, inficerede denne seneste botnet-kampagne et så stort antal internationale enheder af tre hovedårsager.
Wright forklarer, at det første problem er, at mange af disse produkter havde nået slutningen af deres livscyklus, hvilket betyder, at deres producenter ikke længere udsendte sikkerhedsopdateringer. Men han siger, at der kan have været tilfælde, hvor leverandører bare ikke ønskede at arbejde på patches til sikkerhedsproblemer.
Han siger, at det andet problem er, at firmwaren til IoT-enheder er "iboende usikker og fuld af sikkerhedsfejl, hvilket gør dem let brudbare. Endelig siger han, at enheder kan blive sårbare over for botnet-angreb, fordi slutbrugeren undlader at implementere softwareopdateringer.
Wright tilføjer: "Enten er de ikke bekendt med, hvordan de skal, uvidende om opdateringerne og risikoen, eller de vælger simpelthen ikke at gøre det. Vi ser slutresultaterne af dette gang på gang."
Selvom en produktproducent regelmæssigt udgiver softwareopdateringer og sikkerhedsrettelser, forklarer Aldridge fra OpenText Cybersecurity, at cyberkriminelle bruger reverse engineering til at udnytte sikkerhedssårbarheder og tage kontrol over tilsluttede enheder som en del af botnet-kampagner.
Dunham fra Qualys Threat Research Unit mener, at Mirai's "mangeartede" natur er en primær årsag til dette botnet, og forklarer, at den ondsindede kode bruger flere års udnyttelse til at "hurtigt kompromittere sårbare enheder, når timingen er bedst" og for at "maksimere muligheder for at sprede” malwaren.
Vigtige lektioner
I betragtning af, at mange af disse enheder ikke var patchede, siger Aldridge fra OpenText Cybersecurity, at en klar lektie fra denne seneste botnet-kampagne er, at folk altid skal holde deres tilsluttede enheder opdateret.
For Aldridge er en anden vigtig lektie, at organisationer skal konfigurere enheder korrekt, før de implementeres. Han mener, at dette er nøglen til at sikre "maksimal sikkerhed" for tilsluttede enheder. Aldridge forklarer: "Hvis forbindelser til en enhed ikke er aktiveret, bliver det ekstremt svært at gå på kompromis eller endda at opdage den enhed."
Wright fra Featurespace anbefaler, at organisationer opretter en enheds- og softwarebeholdning. Ved regelmæssigt at overvåge produktopdateringsfeeds som en del af dette, siger han, at organisationer ikke vil gå glip af de seneste opdateringer.
Ved køb af enheder råder Wright organisationer til at sikre, at producenten yder tilstrækkelig support og klart definerer deres produkters levetid. Og når en enhed ikke længere er berettiget til support, tilføjer Wright, at organisationer bør erstatte dem så hurtigt som muligt.
Dunham fra Qualys Threat Research Unit (TRU) gentager lignende tanker som Wright, og siger, at det er klart, at organisationer skal udvikle og implementere en successionsplan, der gør dem i stand til at styre alle former for hardware- og softwarerisici "over tid".
"Sørg for, at du har en bundsolid CMDB [configuration management database] og inventar på plads, som du kan stole på, aktiver, der er klassificeret og kendt imod det, og EOL er identificeret og administreret via en virksomheds risikopolitik og -plan," siger han. "Fjern EOL og ikke-understøttet OS-hardware og -software fra produktion for bedst muligt at reducere risiko og angrebsoverflade."
Andre skridt at tage
Ud over regelmæssig opdatering af softwaren på tilsluttede enheder, er der så andre måder organisationer kan forhindre botnet på? Det mener OpenText Cybersecuritys Aldridge. Han mener, at organisationer også bør overvåge deres enheder og systemer for tegn på uregelmæssig trafik og aktiviteter.
Han anbefaler også at segmentere netværk og sikre dem ved hjælp af flere beskyttende lag og tilføjer, at disse trin vil "reducere risikoen og begrænse virkningen af et potentielt kompromis."
Wright fra Featurespace er enig i, at organisationer skal være ekstra opmærksomme på deres netværkssikkerhed for at afbøde botnets. Han siger, at værktøjer som IPS (Intrusion Protection System) eller IDS (Intrusion Detection System) vil underrette brugere om potentiel ondsindet aktivitet og blokere den.
Dunham fra Qualys Threat Research Unit (TRU) opfordrer organisationer til at overveje, om de har stærkt nok cyberforsvar til at tackle botnets, såsom nul-tillidsarkitektur. Dunham siger, at disse bør forstærkes med løbende driftsforbedringer ved at omfavne lilla læring, hvorved organisationer booster deres cyberforsvar ved at bruge både offensive og defensive tilgange.
Vigtigheden af industrirammer
Adoption af en brancheanerkendt fagmand ramme som ISO 27001 vil også hjælpe organisationer med at udvikle en bred og proaktiv cybersikkerhedstilgang til at forhindre botnets og andre cybertrusler til enhver tid.
Wright fra Featurespace forklarer, at industrirammer giver organisationer et benchmark og et sæt krav, som de kan følge for at styrke deres cyberforsvar og mindske cyberrisikoen.
Han tilføjer: "Dette hjælper også potentielle kunder med at have en større grad af tillid til, at det er passende sikkerhedskontrol er på plads."
Aldridge fra OpenText Cybersecurity siger, at overholdelse af en industriramme skal hjælpe organisationer med at forstå de processer og politikker, de skal vedtage for at anskaffe, implementere, overvåge og bortskaffe enheder sikkert.
Botnets kan have alvorlige konsekvenser for ofre, lige fra datatyveri til DDoS-angreb. Og hvis du undlader at opdatere dine enheder regelmæssigt eller bruger udtjente produkter, er der enhver chance for, at en trusselaktør kan bruge en af dine enheder til at udføre sådanne uhyggelige handlinger.
Men at forhindre dette i at ske er ikke kun et tilfælde af at reagere på trusler, når du hører om dem; det kræver en langsigtet forpligtelse til cybersikkerhed, som kan forenkles gennem industrirammer.
