Beebright - 股票.Adobe.com.
如何检测僵尸网络感染IOT设备
检测IOT Botnets可能非常困难,但通过此专家建议,组织可以采取措施来检测和防止攻击者劫持物联网设备。
虽然研究人员和安全供应商将其业务集中在寻找和停止将IOT设备转变为僵尸网络的恶意软件,但首席信息安全官员及其自己的团队也必须勤勉地蔑视发现和阻止此类攻击。
Philip Chan表示,这是一个不容易的壮举,这是马里兰大学全球校区的计算机科学和网络安全部门的兼职副教授。
“没有直接的方法或简单的任务来检测僵尸网络的攻击,”陈说,并指出大多数僵尸网络的命令是微妙的,不容易作为异常定位。
物联网设备面临着旨在推动它们的攻击浪潮僵尸网络攻击。2020年初,MalwareMustDie组织和安全公司Intezer的研究人员发现了一种新的僵尸网络,命名为Kaiji,并警告称,它的目标是物联网设备。今年4月,安全软件公司Bitdefender的研究人员宣布,他们发现了一种新的物联网僵尸网络,他们将其命名为dark_nexus。大约在同一时间,科技公司CenturyLink宣布,其黑莲花实验室发现了聚集物联网机器人的新的墨子恶意软件。安全软件制造商卡巴斯基实验室检测到超过1亿2019年上半年,智能设备受到的攻击从2018年上半年的1200万起增加到2019年上半年。
菲利普•陈陈和其他专家提供了一些组织可以并且应该采取的步骤,以便他们能够发现和抵御僵尸网络攻击。
实施标准的网络安全措施
组织必须将已建立的网络安全最佳实践扩展到其物联网环境,包括路由器、端点设备和网络设备。首席资讯保安主任应确保所有设备均能更新及打上补丁;这些更新和补丁在可用时应用;并部署反病毒、入侵检测和其他安全工具。
格雷戈里J.Touhill.CISOs也可以实施细分为了帮助防止成功的恶意软件对IOT设备的攻击,Carnegie Mellon University Heinz信息系统Heinz学院的兼职教师兼议员。他也是一支退休的美国空军推导军,之前被选为美国的第一个联邦Ciso。Cisos可以创建围绕段包裹的软件定义的参数,然后建立严格的身份验证要求,以限制可以访问物联网设备的内容。例如,CISOS可能会限制对IOT设备的访问,仅在特定IP地址上仅在公司网络中的系统中,并阻止除通信之外的一切外面。
克里斯托弗·麦克尔罗伊寻找可疑的通信和代码
损害设备它们是僵尸网络的一部分,可以与命令控制点通信——通常在第一次受到攻击时启动通信。受损的设备也可能发送其他通信。管理咨询公司Swingtide的高级顾问克里斯托弗·麦克尔罗伊(Christopher McElroy)说,首席信息官们应该监视活动,以发现发送的数据包,并注意它们是否与可疑的传入活动一致。
安全专家也可以仔细分析恶意软件代码以找到签名,Chan说。
“对反向工程师的分解器和拆卸器编译代码可能有助于识别僵尸网络可能的程序代码和执行命令的根源,”他说。
然而,这种方法可能超出了许多Cisos和安全团队可以在自己的资源和步骤中掌握他们的资源来处理的,以便对恶意软件进行混淆。
陈教授说:“僵尸网络的作者和创造者正在使用综合加密技术阻止调查人员追踪他们的踪迹,这使得反向过程更加困难。”
鉴于IOT妥协可以拥有的潜在的大规模影响,利用网络甚至互联网是绝对明智的,作为预防,监测和检测策略的一部分。 大卫瑞士Cymru团队的客户成功总监
由于僵尸网络检测需要可见于恶意服务器和部署机器人之间的通信的可见性,因此检测僵尸网络的另一种方法是跟踪和分析使用的攻击。
“一些公布的标准安全解决方案可以提供像僵尸网络攻击的起源一样的可见性,”陈说。“在僵尸网络的剥削期间,有脚印的迹象。相同的IP地址可以在使用相同的有效载荷和类似的攻击模式时连接到同一站点。Web服务上的僵尸网络分布式拒绝服务攻击尝试一个典型的情景。“
他说,检测僵尸网络的另一种方法是使用现有的安全参考解决方案,并从传统的漏洞扫描器获取最新信息。这些步骤有助于组织不断地学习和辨别普通流量恶意,botnet-driven交通。
如果可能的话,移除受损的设备
互联网安全和威胁情报公司Team Cymru的客户成功部主管戴维·蒙尼尔(David Monnier)说,如果CISO怀疑物联网设备受到威胁,安全性应首先确定移除该设备会产生什么影响。这就是为什么cio需要对他们的物联网生态系统有一个全面的了解和可见性。
“在IOT的情况下,它有时可能会产生重大影响,就像没有运送的权力或水泵不工作的基础设施一样,”他说。“鉴于IOT妥协可能具有潜在的大规模影响,它是绝对明智的,以利用网络,甚至是互联网,作为预防,监控和检测策略的一部分。使用像本地网络上的特定[虚拟LAN]等特定的东西在寄宿手机和外部智能和监测服务的限制性访问政策都是明智的,并必须确保充分的安全性。“
