Semalt: Bir Botnet'in Faaliyetlerini Botnet Sızıntısıyla Anlamak

Botnet'ler bugün bilgisayar kullanıcılarının karşılaştığı en büyük BT güvenliği sorunlarından biridir. Binlerce botmasters, güvenlik şirketleri ve diğer ilgili ajanslar tarafından geliştirilen güvenlik barikatlarından kaçınmak için 24 saat çalışıyor. Botnet ekonomisi, karmaşıklığı içinde, muazzam bir şekilde büyüyor. Bu bağlamda, Semalt Müşteri Başarı Yöneticisi Frank Abagnale size Cisco bilgisayar şirketinin harika uygulamalarından bahsetmek istiyor.

Bir Cisco güvenlik araştırma ekibi tarafından yakın zamanda yapılan bir çalışmada, bot faaliyetlerinden haftada 10.000 ABD Doları elde eden botmasters olduğu tespit edildi. Ellerini suça sokmak isteyen bireyler için bu tür bir motivasyonla, milyarlarca şüpheli bilgisayar kullanıcısı botnet saldırılarının etkileri konusunda daha büyük bir risk altındadır.

Cisco araştırma ekibi, araştırmalarında botmasters'ın makineleri tehlikeye atmak için kullandığı çeşitli teknikleri anlamaya yönelikti. İşte çabalarının keşfetmeye yardımcı olduğu birkaç şey:

Internet Relay Chat (IRC) trafiğine dikkat edin

Botnet'lerin çoğu, komut ve kontrol çerçevesi olarak Internet Relay Chat (IRC) kullanır. IRC için kaynak kodu hazır. Böylece, yeni ve deneyimsiz botmasterlar basit botnet'leri yaymak için IRC trafiğini kullanırlar.

Şüphesiz birçok kullanıcı, özellikle de makineleri bir Saldırı Önleme Sistemi tarafından istismarlara karşı korunmadığında, bir sohbet ağına katılmanın potansiyel risklerini anlamaz.

Saldırı tespit sisteminin önemi

Saldırı tespit sistemi bir ağın ayrılmaz bir parçasıdır. Konuşlandırılmış bir internet güvenlik yönetim aracından gelen uyarıların geçmişini tutar ve botnet saldırısı geçiren bir bilgisayar sisteminin iyileştirilmesine izin verir. Algılama sistemi, güvenlik araştırmacısının botnet'in ne yaptığını bilmesini sağlar. Ayrıca hangi bilgilerin ele geçirildiğini belirlemeye de yardımcı olur.

Tüm botmasters bilgisayar meraklıları değil

Birçoğunun varsayımının aksine, bir botnet çalıştırmak gelişmiş bilgisayar deneyimi veya kodlama ve ağ oluşturma konusunda uzman bilgisi gerektirmez. Faaliyetlerinde gerçekten anlayışlı olan botmasters var, ancak diğerleri sadece amatörler. Sonuç olarak, bazı botlar diğerlerinden daha yetkinlikle yaratılır. Bir ağ için savunma tasarlarken her iki saldırganı da akılda tutmak önemlidir. Ancak hepsi için asıl motivasyon, minimum çabayla kolay para kazanmaktır. Bir ağın veya makinenin güvenliğinin aşılması çok uzun sürerse, bir botmaster bir sonraki hedefe geçer.

Ağ güvenliğinde eğitimin önemi

Güvenlik çabaları yalnızca kullanıcı eğitimi ile etkilidir. Sistem yöneticileri genellikle maruz kalan makineleri yamaları ya da makineyi istismarlardan korumak için bir IPS kullanırlar. Ancak, kullanıcı botnet gibi güvenlik tehditlerinden kaçınmanın çeşitli yolları hakkında iyi bir şekilde bilgilendirilmezse, en son güvenlik araçlarının bile etkinliği sınırlıdır.

Kullanıcının güvenli davranış konusunda sürekli olarak eğitilmesi gerekir. Bu, bir işletmenin spam sunucularını, veri hırsızlığını ve diğer siber tehditleri barındırma güvenlik açığını azaltmak için bir kullanıcının kullanıcı eğitimi bütçesini artırması gerektiği anlamına gelir.

Bot ağları genellikle bir ağda tuhaflıklar olarak ortaya çıkar. Bir ağdaki bir veya birkaç makineden gelen trafik diğerlerinden farklıysa, makinelerin güvenliği tehlikeye girebilir. Bir IPS ile botnet güvenlik açıklarını tespit etmek kolaydır, ancak kullanıcının IPS gibi güvenlik sistemleri tarafından verilen uyarıları nasıl tespit edeceğini bilmesi önemlidir. Güvenlik araştırmacıları ayrıca belirli bir garip davranışı paylaşan makineleri fark etmek için uyanık olmalıdır.