Botnetek vállalati környezetekben

A botnetek éppúgy nem kímélik a vállalatokat és az intézményeket, mint az egyéni felhasználókat. Mivel a háttérben tevékenykedő kártékony programok felismerése megfelelő eszközök és intézkedések nélkül sok esetben igencsak nehézkes, ezért e károkozók nemcsak bizalmas adatok kiszivárogtatásával vagy a rendszerek esetleges megbénításával okozhatnak komoly károkat, hanem az egyes szervezeteket számítógépes bűncselekményekbe is bevonhatják, ami jogi nehézségekhez, és nem utolsó sorban a hírnév csorbulásához vezethet. Ezért a legfontosabb feladatnak a megelőzés számít. Ha pedig mégis megtörténik a baj, akkor az ártalmas kódok lehető leggyorsabb eltávolítására kell koncentrálni

Andrew Jaquith, a Perimeter E-security műszaki igazgatója egy webes előadáson a botnetek vállalatokat fenyegető jellemzőiről beszélt. A legfontosabb megállapítása az volt, hogy a szervezeteknek fel kell ismerniük, hogy a hagyományos védelmi technológiák önmagukban már elegendőek. "Korábban, amikor egy alkalmazott számítógépe megfertőződött, akkor gyakran felelőssé lehetett tenni azért, mert esetleg a munkájával nem összefüggő weboldalakat is megtekintett. Manapság azonban ez már egyre inkább nem így van, hiszen a kártékony tartalmak teljesen legális, ártalmatlan weblapokon is megjelenhetnek, akár manipulált reklámok formájában is. Továbbá növekszik a kifinomult adathalász és social engineering alapú támadások száma, amelyek bonyolulttá teszik a káros üzenetek megkülönböztetését az ártalmatlan tartalmaktól" - vélekedett Jaquith.

 

Másodpercek alatt megtörténhet a baj

Richard Westmoreland, a Perimeter E-security biztonsági elemzője egy történetet osztott meg a nyilvánossággal. Elmesélte, hogy nemrégen az egyik ügyfelüknél pontosan nyolc másodpercre volt szükség ahhoz, hogy egy Mebroot trójai megfertőzzön egy PC-t. Ezt követően a számítógépen már egy hátsó kapu tátongott, amelyen keresztül a trójai szabadon kommunikálhatott a Torpig nevű botnettel. Ebből a felhasználó semmit sem vett észre, és továbbra is gyanútlanul vette igénybe a pénzügyi szolgáltatásokat, illetve adta meg a bizalmas adatait.

"A hagyományos védelmi eszközök, mint például a tradicionális tűzfalak és behatolásmegelőző rendszerek gyakran nem képesek ellenállni a botnetek támadásának, mivel nem elemzik kellő alapossággal a webes adatforgalmat. A tűzfalak kétségtelenül távol tarthatnak kártevőket, de amennyiben egyszer egy rendszer megfertőződik, akkor sokszor már tehetetlenek, és nem képesek megakadályozni, hogy a fertőzött számítógépek kommunikáljanak a botneteket vezérlő kiszolgálókkal" - magyarázta Jaquith. Hasonló a helyzet azokkal a vírusvédelmi megoldásokkal is, amelyek túlságosan hagyatkoznak a szignatúraalapú védelemre, hiszen ekkor a nulladik napi támadások felfedezésére kisebb az esély. További problémát jelent a titkosított adatforgalom megfelelő elemzése is.

 

Mit tehetünk?

Andrew Jaquith a védekezési lehetőségek közül elsősorban a webes tartalomszűrés fontosságát emelte ki. Minden egyes URL-t vizsgálatnak kell alávetni, és amennyiben az azok mögött meghúzódó tartalmakat a biztonsági alkalmazások nem képesek megfelelő módon felismerni, vagy beleesnek valamely nemkívánatos tartalmi kategóriába, akkor az elérésüket azonnal le kell tiltani. A szakember tapasztalatai szerint a webes adatforgalom 90 százalékát általában 100 különböző weboldal teszi ki, és a maradék tíz százalékban kell igazán résen lenni. Jaquith arra is rávilágított, hogy a webes tartalomszűrésnek - még ha ez nem is mindig könnyű - éppúgy ki kell terjednie a szervezet vezetőire, mint az alkalmazottakra. Ha nem így történik, akkor az egy gyenge láncszemet jelent a védelmen. Jó példa erre a HBGary incidense, ami többek között azért következett be, mert az elnök-vezérigazgató és a cég operatív működéséért felelős igazgatója gyenge jelszavakat használt.