Recientemente han habido eventos relacionados con los BOTNETS, tal como los ocurridos en twitter y facebook, los cuales han sido altamente publicitados. Mientras que esos eventos de seguridad no han pasado desapercibido. Dentro de tu empresa pueden existir ataques pequeños que pueden llegar a ser una gran amenaza .
Enrolandonos dentro de los mecanismos de defensa de la empresa, los atacantes buscan puntos débiles, los atacantes han comenzado a utilizar botnets mas pequeñas, menos notables para evadir las salvaguardas de las empresas. ahora discutiremos mas acerca de este tipo de eventos llamados micro-botnets como identificarlos y prevenirlos .
Por que small botnes son mejores?
La grande botnes son usualmente usadas para lanzar ataques de DDoS, para denegar el acceso a servicios que el atacado ofrece, estos ataques requieren de recursos para ser logrados, a esto le llamamos Botnet army, muy parecido a mandar miles de soldados para abrumar al enemigo en batalla, el atacante usa sus recursos para abrumar al servido de la victima o a sus redes. cuando un atacante quere enviar un ataque de DDoS contra una organizacion, solo manda comandos para comenzar el ataque de la botnet army enfocandose en la victima. Este ataque crea mutiples conexiones con el objetivo esto basa toda la atencion del objetivo y los sistemas de proteccion en controlar las peticiones provocando que la victima baje de rendimiento o incluso salga de linea .
A diferencia de los botnet grandes atacando una red para denegar servicios, las micro-botnets tiene menos probabilidad de ser detectados, etos envían pequeñas cadenas de datos para evardi la detección de sistemas firewalls, detectores de intrusos haciendose pasar por trafico uatorizado. desafortunadamente una micro- botnet es una porción de una lage-botnet, y pueden realizar tareas precisas como deshabilitar antivirus de host, enviar información almacenada, capturar imágenes por medio de cámaras etc. muchos de ellos aun no llegan a contar con firmas o patrones de conducta lo cual fácilmente pueden pasar desapercibidos para los especialistas en seguridad.
Por que micro botnets son existosos ?
Por que pueden penetrar dentro de nuestras empresas pasando firewalls, IPS/IDS, y atacar directamente aun objetivo ( no necesariamente por fuerza bruta ) .
Usando ataque de ingeniería social hacia un usuario objetivo es una de las maneras mas faciles de infiltrarte dentro de una empresa, Es relativamente facil encontrar informacion de una organizacion y sus empleados, utilizar esa información dentro de un correo electrónico tipo phishing con un malaware cargado ( frecuente mente con asuntos laborales imitando ser quien no son ) o incluso un ataque resiente documentado es el ejecutado por un menor de edad incluyendo un código malicioso en un video de youtube con un titulo sugerente que atraiga la atención del espectador. Este malaware puede hacer sondas de footprinting en una red en busca de debilidades, recopilando la informacion y enviandola al atacante. Una vez comprometido el host el atacante puede mandar codigo extra que le permita explotar las vulnerabilidades encontradas expandiendo su botnet por la red, extrayendo información de la misma o simplemente vendiendo la botnet a alguien mas y hacer búsqueda de una siguiente victima .
Peor aun, una vez comprometiendo nuestra red, la aplicacion botnet puede permanecer latente por largos periodos de tiempo en espera de algun comando o un evento especifico y causar fuertes dolores de cabeza. A diferencia de los lage botnets, que requieren de un mayor control del atacante que frecuentemente pueden ser descubiertas por su firma. Una micro botnet al no requerir tanto recurso, ser mas precisa y mejor adaptada para los ataques dirigidos suele no ser fácilmente descubierta .
Las Micro-botnets al ser mejor adaptadas al entorno son mas eficientes que los lage-botnets , estos pueden ser dirigidos a objetivos específicos dentro de las redes, generando sondas para intervenir información especifica como secretos comerciales, secuestrar cuentas, deshabilitar antivirus, eliminar archivos, deshabilitar software critico y generar ataques combinados mientras que discretamente se alimentan dentro de nuestras informacion y curzan nuestras redes junto con el trafico normal asemejándose a un trafico legitimo .
Consejos que pueden ayudarnos a encontrar y detener micro-botnet
Es obio que el elemento humano es una problema, y que los botnet suelen evadir las defensas tradicionales y entrar a nuestras corporaciones. Para protegerse contra los micro-botnet, las empresas deben concientizar e invertir recursos en la deteccion de los botnets y no concentrarse solo en la prevencion de ellos. Como se mencionó anteriormente, la sofisticación de los botnets les ha permitido entrar más a menudo - en pocas palabras, las defensas tradicionales no siempre funcionan. No quiere decir que la prevención no es necesaria, pero la detección de botnets ya dentro de la empresa es un factor determinante. La mentalidad de que un firewall, IDS, o software de protección contra el malware se hará cargo de los ataques, crea un ambiente con un falso sentido de seguridad. Las organizaciones deben hacer más para comprender lo que está sucediendo y entender que una actitud proactiva evitara mayores costos y perdida de producción.
Conocer y compender la actividad dentro de nuestra redes corporativas nos permitirá la identificación temprana y mejores respuestas a una incidencia de seguridad. Sin embargo esto va mas aya de solo la gestión administrativa de los recursos y abarca la comprensión de todos los procesos que se ejecutan en los host, donde se encuentran nuestros activos , que puertos usan, esto incluye un esquema de la red y un mantenimiento continuo de software y control de actualizaciones.
Cuando los micro-botnets comienzan a mostrarse, aunque sutilmente, es necesario darse cuenta de los picos anormales de tráfico de red, puertos abiertos no registrados, y las cuentas de repente obtener permisos elevados. Si estás utilizando un escáner de firmas, suba el nivel de sensibilidad y pase un poco mas de tiempo para determinar qué es o no un falso positivo. Es una buena practica de la red el análisis de registros para saber lo que realmente está sucediendo en la red. Para ayudar a automatizar gran parte del análisis del registro, busque productos tales como los ofrecidos por LogLogic Inc., ArcSight Inc. o de WatchMouse Network Security Inc., Logwatch, watchdog, Logsentry entre otros .
Finalmente , la capacitacion y la educacion de los usuarios puede hacer mas sencilla la tarea. Los usuarios deben saber como identificar y reportar un comportamiento anormal en la red y como prevenir ser una victima de la ingenieria social. La capacitación debe ser continua y dinámica que permita que los usuarios tomen conciencia del reto que estamos enfrentando generar puntos de control de la capacitacion, ayudaran como frustrar un ataque por micro-botnet .
Una recomendacion es utilizar software como, snort, wireshark, BotHunter, tcpdump, iptraf , nmap, para realizar pruebas de comportamiento de nuestras redes .
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario