כיצד ארגונים יכולים לצמצם התקפות Botnet

כיצד ארגונים יכולים למתן התקפות Botnet

מאת ניקולס פירן • 24 אוקטובר 2024

מסע רשת בוטנט נרחב בגיבוי סיני, שחיבר מאות אלפי מכשירים מחוברים לאינטרנט ברחבי העולם לפעולות זדוניות שונות, הדגיש את החשיבות של שמירת התוכנה מעודכנת והחלפת המוצרים כשהם מגיעים לסוף החיים. אבל ככל שהבוטנטים ממשיכים לגדול במספר ובתחכום, מה עוד יכולים ארגונים ללמוד מהאירוע הזה?

מה קרה

בספטמבר, המרכז הלאומי לאבטחת סייבר של בריטניה (NCSC) ושותפיו בארצות הברית, אוסטרליה, קנדה וניו זילנד פרסמו ארגון אזהרה מייעץs על רשת בוט המקושרת לסין המשמשת להפעלת התקפות מניעת שירות מבוזרות (DDoS), הפצת תוכנות זדוניות, גניבת נתונים רגישים וביצוע פעולות זדוניות אחרות.

רשת הבוטים פגעה יותר מ-260,000 מכשירים המחוברים לאינטרנט ביבשת אמריקה, אירופה, אפריקה, דרום מזרח אסיה ואוסטרליה. אלה כללו נתבים, חומות אש, מצלמות רשת, מצלמות טלוויזיה במעגל סגור ומכשירים אחרים, שרבים מהם נותרו פגיעים להפרות אבטחת סייבר עקב סיום החיים או ללא תיקון.

הייעוץ טוען שחברה סינית בשם Integrity Technology Group, שלדעתה יש לה קשרים עם ממשלת סין, שלטה וניהלה את הבוטנט. בינתיים, שחקן האיומים הסיני פלקס טייפון ממנף את הבוטנט בפעילויות זדוניות.

אלה שמאחורי התוכנה הזדונית השתמשו בקוד הבוטנט של Mirai כדי לפרוץ למכשירים אלה ולבצע אותם בנשק לפעילויות זדוניות. Mirai מתמקדת במכשירים מחוברים הפועלים על מערכת ההפעלה לינוקס, וזוהתה לראשונה על ידי חוקרי אבטחת סייבר ב-MalwareMustDie באוגוסט 2016.

קן דנהאם, מנהל איומי סייבר ביחידת המחקר לאיומי Qualys (TRU), מתאר את מיראי כ"מערכת בוטנט מורכבת" המשמשת לקמפיינים של איומי סייבר "קשורים להתחלה, שחרור קוד מקור ושינויים שונים בהתקפות ובמטרות". הוא מוסיף: "מיראי ממשיכה להיות רשת בוט חזקה."

רשתות בוט אינן תופעה חדשה בשום אופן. הם קיימים כמעט שני עשורים, מסביר מאט אולדריג', יועץ פתרונות ראשי בחברת אבטחת ה-IT OpenText Cybersecurity. אבל הוא אומר שמקרים של מדינות לאום המשתמשות בטכנולוגיות זדוניות כמו בוטנטים הם "התפתחות עדכנית יותר".

הסיבות העיקריות

לדברי שון רייט, ראש תחום אבטחת יישומים במומחי זיהוי ההונאות Featurespace, מסע הפרסום האחרון של הבוטנט הזה הדביק מספר כה גדול של מכשירים בינלאומיים משלוש סיבות עיקריות.

רייט מסביר שהבעיה הראשונה היא שרבים מהמוצרים הללו הגיעו לסוף מחזור החיים שלהם, כלומר היצרנים שלהם כבר לא הוציאו עדכוני אבטחה. אבל הוא אומר שאולי היו מקרים שבהם הספקים פשוט לא רצו לעבוד על תיקונים לבעיות אבטחה.

הוא אומר שהבעיה השנייה היא שהקושחה של מכשירי IoT היא "בלתי מאובטחת מטבעה ומלאה בפגמי אבטחה, מה שהופך אותם לניתנים לפריצה בקלות. לבסוף, הוא אומר שמכשירים יכולים להפוך לפגיעים להתקפות בוטנט מכיוון שמשתמש הקצה לא מצליח ליישם עדכוני תוכנה.

רייט מוסיף, "או שהם לא מכירים איך לעשות, לא מודעים לעדכונים ולסיכון, או שפשוט בוחרים שלא. אנחנו רואים את התוצאות הסופיות של זה שוב ושוב".

גם אם יצרן מוצר משחרר באופן קבוע עדכוני תוכנה ותיקוני אבטחה, Aldridge מ-OpenText Cybersecurity מסביר כי פושעי סייבר משתמשים בהנדסה הפוכה כדי לנצל פרצות אבטחה ולהשתלט על מכשירים מחוברים כחלק מקמפיינים של בוטנט.

דנהאם מיחידת המחקר האיומים של Qualys מאמינה שהטבע ה"מגוון" של מיראי הוא הגורם העיקרי לרשת הבוט הזה, ומסביר שהקוד הזדוני משתמש בניצול של מספר שנים כדי "לפשר במהירות מכשירים פגיעים כשהתזמון הוא הטוב ביותר" וכדי "למקסם הזדמנויות להפיץ" את התוכנה הזדונית.

שיעורי מפתח

בהתחשב בעובדה שרבים מהמכשירים הללו לא תוקנו, Aldridge מ-OpenText Cybersecurity אומר שלקח ברור מקמפיין הבוטנט האחרון הזה הוא שאנשים צריכים תמיד לעדכן את המכשירים המחוברים שלהם.

עבור Aldridge, לקח קריטי נוסף הוא שארגונים צריכים להגדיר כראוי מכשירים לפני פריסתם. הוא מאמין שזהו המפתח להבטחת "האבטחה המרבית" של מכשירים מחוברים. אולדריג' מסביר: "אם חיבורים למכשיר אינם מופעלים, זה הופך להיות קשה מאוד להתפשר, או אפילו לגלות את המכשיר הזה."

רייט מ-Featurespace ממליצה לארגונים ליצור מלאי מכשירים ותוכנה. על ידי מעקב קבוע אחר עדכוני מוצר כחלק מכך, הוא אומר שארגונים לא יחמיצו את העדכונים האחרונים.

בעת רכישת מכשירים, רייט מייעץ לארגונים להבטיח שהיצרן מספק תמיכה נאותה ומגדיר בבירור את תוחלת החיים של מוצריו. וכאשר מכשיר אינו זכאי יותר לתמיכה, רייט מוסיף שארגונים צריכים להחליף אותם מהר ככל האפשר.

בהדהוד מחשבות דומות לרייט, דנהאם מיחידת המחקר לאיומים של Qualys (TRU) אומרת שברור שארגונים חייבים לפתח וליישם תוכנית רצף המאפשרת להם לנהל את כל סוגי סיכוני החומרה והתוכנה "לאורך זמן".

"ודא שיש לך CMDB [מסד נתונים לניהול תצורה] ומלאי יציבים שאתה יכול לסמוך עליהם, נכסים מסווגים וידועים נגדו, ו-EOL מזוהה ומנוהלת באמצעות מדיניות ותוכנית סיכונים של החברה", הוא אומר. "הסר את EOL ואת החומרה והתוכנה של מערכת ההפעלה הלא נתמכת מהייצור כדי להפחית בצורה הטובה ביותר את הסיכון ואת פני התקפות."

צעדים אחרים שיש לנקוט

מעבר לעדכון שוטף של התוכנה של מכשירים מחוברים, האם ישנן דרכים אחרות שבהן ארגונים יכולים למנוע בוטנטים? Aldridge מבית OpenText Cybersecurity סבור שכן. הוא מאמין שארגונים צריכים גם לפקח על המכשירים והמערכות שלהם לאיתור סימנים של תנועה ופעילויות לא סדירות.

הוא גם ממליץ לפלח רשתות ולאבטח אותן באמצעות שכבות הגנה מרובות, ומוסיף שצעדים אלה "יצמצמו את הסיכון ויגבילו את ההשפעה של פשרה פוטנציאלית".

רייט מ-Featurespace מסכים שארגונים צריכים להקדיש תשומת לב נוספת לאבטחת הרשת שלהם כדי להפחית רשתות בוטים. לדבריו, כלים כמו IPS (מערכת הגנת חדירה) או IDS (מערכת זיהוי חדירה) יודיעו למשתמשים על פעילות זדונית פוטנציאלית ויחסמו אותה.

Dunham מ-Qualys Threat Research Unit (TRU) קורא לארגונים לשקול אם יש להם הגנות סייבר חזקות מספיק כדי להתמודד עם רשתות בוטים, כגון ארכיטקטורת אמון אפס. דנהאם אומר שיש לחזק את אלה עם שיפורים מתמשכים בתפעול על ידי אימוץ למידה סגולה, לפיה ארגונים מחזקים את הגנת הסייבר שלהם תוך שימוש בגישה התקפית והגנתית כאחד.

החשיבות של מסגרות תעשייתיות

אימוץ איש מקצוע מוכר בתעשייה מסגרת כמו ISO 27001 יסייע גם לארגונים לפתח גישת אבטחת סייבר רחבה ויזומה למניעת בוטנטים ואיומי סייבר אחרים בכל עת.

רייט מ-Featurespace מסביר כי מסגרות תעשייתיות מספקות לארגונים נקודת מידה ומערכת של דרישות שהם יכולים לעקוב אחריהם כדי לחזק את הגנת הסייבר שלהם ולהפחית את סיכון הסייבר.

הוא מוסיף: "זה גם עוזר ללקוחות פוטנציאליים לקבל מידה רבה יותר של ביטחון כי המתאים בקרות אבטחה נמצאים במקום."

Aldridge מ-OpenText Cybersecurity אומר שהקפדה על מסגרת תעשייתית אמורה לעזור לארגונים להבין את התהליכים והמדיניות שעליהם לאמץ כדי לרכוש, לפרוס, לנטר ולהשליך מכשירים בצורה מאובטחת.

לרשתות בוטניות יכולות להיות השלכות חמורות על הקורבנות, מגניבת נתונים ועד התקפות DDoS. ואם אינך מצליח לעדכן את המכשירים שלך באופן קבוע או שאתה משתמש במוצרי סוף החיים, יש כל סיכוי ששחקן איום יכול להשתמש באחד מהמכשירים שלך כדי לבצע פעולות מרושעות כאלה.

אבל מניעת זה לקרות אינה רק מקרה של תגובה לאיומים כפי שאתה שומע עליהם; היא דורשת מחויבות ארוכת טווח לאבטחת סייבר, אותה ניתן לפשט באמצעות מסגרות תעשייתיות.

ניקולס פירן

ניקולס פירן הוא עיתונאי עצמאי מהעמקים הוולשיים. הוא כתב עבור כלי תקשורת גדולים כמו הפייננשל טיימס, האינדיפנדנט, הטלגרף, Evening Standard, iNews, HuffPost ו-Insider, כמו גם פרסומי B2B כמו Computer Weekly, Computing ו-IT Pro. כשניק לא כותב על הגאדג'טים והטרנדים הטכנולוגיים האחרונים, הוא כנראה מקשיב לכל הדיסקוגרפיה של מריה קארי.