Комплексная защита от вездесущих ботнетов

Опубликовано: 26.11.2007, 14:00 Автор: Родин Дмитрий
Комплексная защита от вездесущих ботнетов

Дискуссии об информационной безопасности в последнее время уже невозможно представить без отдельного разговора о ботнетах. Среди более-менее продвинутых пользователей уже почти не осталось таких, кому нужно объяснять суть этого термина; более того, все больше людей если не знают значения, то хотя бы однажды уже встречали другой термин, постепенно прижившийся в заголовках онлайн-изданий, - «DDoS-атака».

Обо всех подробностях проведения таких атак и использования ботнетов пишут довольно часто: в частности совсем недавно на эту тему достаточно емко высказался руководитель Центра компетенции Trend Micro в России и СНГ Михаил Кондрашин, уже дававший на этой неделе интервью TelNews. Мы же попробуем взглянуть на проблему несколько с другой стороны, отойдя от сугубо технологических вопросов к более «приземленным». Понятно, что с течением времени атаки мошенников и киберпреступников перестают иметь своей целью лишь привлечение внимания общественности, и использование ботнетов здесь не является исключением – создаются они вовсе не бесплатно, а их «услуги», соответственно, тоже обходятся заказчику в определенные суммы денег. Естественно, при этом платить придется и обеспокоенным потенциальным жертвам (как недавно сообщал TelNews, услуги компании «Караван» по защите клиентских серверов от DDoS-атак стоят около $1 в месяц).

Таким образом, вся серьезность угрозы для пользователя вполне понятна – меньше ясности в другом вопросе, касающемся алгоритма защиты от атак ботнетов, а также возможностей антивирусов и брандмауэров на этом «поле брани». Кроме Михаила Кондрашина, с TelNews все эти вопросы согласились обсудить генеральный директор ЗАО «ДиалогНаука» Виктор Сердюк, руководитель отдела аналитики и постановки задач компании Agnitum Алексей Белкин и PR-директор S.N.Safe&Software Ольга Горшкова:

- Насколько в настоящее время распространено использование ботнетов при атаках мошенников в России? Будет ли ситуация меняться со временем?

Виктор Сердюк: В настоящее время bot-сети являются одним из наиболее эффективных инструментов злоумышленников для проведения распределённых атак типа «отказ в обслуживании» как за рубежом, так и в России. Одним из наиболее ярких примеров последнего времени является атака на «Южную телекоммуникационную компанию». Необходимо отметить, что в России увеличивается число компьютеров, подключенных к Интернету по высокоскоростным каналам связи, и все они являются потенциальной мишенью для внедрения bot-агентов с целью последующей организации полномасштабной bot-сети. Это означает, что в ближайшем будущем bot-сети также будут представлять значительную угрозу информационной безопасности компаний.

Алексей Белкин: Мы не ведем статистику распространения ботнетов и не располагаем данными по частоте их атак. По большому счету, этот вопрос лучше всего адресовать хостинг-провайдерам, владельцам датацентров и магистральных каналов, на чьи сервера и линии, в основном, ложится нагрузка в результате подобных атак. Что их нагружает больше – спам-трафик или DDoS-пакеты с российских IP-адресов - без статистики проследить сложно.

В вопросах нашей компетенции находится, скорее, защита конечного пользователя или Windows-сервера от DDoS-атак. Вероятно, что и ситуация с точки зрения в плане угроз будет изменяться в таком направлении: ботнеты начнут дробиться, становиться более подконтрольными своим авторам, нанося все более «точечные» удары по конкретным организациям и пользователям «сеток». Но все покажет время.

Михаил Кондрашин: Ботнеты являются универсальной платформой для анонимных массированных атак. Это средство одинаково популярно у киберпреступников во всем мире, и их популяция со временем будет только расти.

Ольга Горшкова: Сегодня создание и использование ботнет сетей в криминальных целях (рассылка с зомбированных компьютеров спама, содержащего мошеннические предложения, DDoS-атак для перегрузки серверов/сайтов, и как следствие, неработоспособности сервера/сайта компании, что ведет к оттоку клиентов и финансовым потерям со стороны компании) на пользовательские ПК и компьютерные сети стало очень прибыльным и соответственно популярным видом бизнеса. И это общемировая тенденция, которая не является исключением и для России. Причем в последнее время масштабные ботнеты уступают место группам небольших сетей, которые позволяют производить разнообразные виды атак. Кроме того, небольшие ботнеты имеют больше шансов остаться незамеченными корпоративными системами защиты. По прогнозам специалистов, ситуация вряд ли изменится к лучшему, т.к. ботнеты - это колоссальный механизм для получения максимальных криминальных прибылей, если только IT- сообщество не изобретет какого-либо нового революционного средства борьбы с этой угрозой.

- Для чего чаще всего используются ботнеты (DDoS-атаки, рассылки, что-то еще)?

Виктор Сердюк: В большинстве случаев bot-сети используют для организации распределённых атак типа «отказ в обслуживании» (DDoS), рассылки спама и вирусов, а также генерации оплачиваемых посещений на интернет-сайты от имени тех пользователей, на компьютерах которых установлены bot-агенты (так называемый click fraud).

Михаил Кондрашин: Ботнеты могут использоваться для DDoS-атак, спам и фишинг-рассылок, установки шпионских программ, накрутки кликов на платных ссылках в поисковых системах, создания подложных веб-сайтов, временного хранения украденной информации. Так как эти действия настолько различны по своим проявлениям, то их сложно сравнивать количественно.

Ольга Горшкова: Объединение компьютеров в ботнеты подразумевает их скрытое зомбирование и, соответственно, позволяет злоумышленнику использовать зараженные компьютеры в самых различных криминальных целях. Это и уже вышеупомянутые спам-рассылки и adware-рассылки, и DDos атаки, и рассылки с подконтрольных компьютеров разнообразного ПО с целью целенаправленного слежения за определенными компьютерами или сетями, порчи или кражи конфиденциальной информации. Атаки, организованные ботнетами, используются с целью непосредственной наживы (финансовое интернет-мошенничество) либо нанесения ущерба репутации конкурентов (нечестная конкурентная борьба).

- Ваши рекомендации о том, как обезопасить себя от атак, осуществляемых с помощью ботнетов.

Виктор Сердюк: Методы защиты от атак, осуществляемых при помощи bot-сетей, зависят от того, какая атака проводится злоумышленником. Так, например, если при помощи bot-сетей осуществляется массовая рассылка вирусов или спама, то для противодействия этой угрозе на предприятии необходимо установить промышленную систему защиты от вредоносного кода и нежелательной почтовой корреспонденции. Если же bot-сети используются для проведения распределённой DDoS-атаки, то для защиты уже следует применять специализированные программно-аппаратные комплексы, такие как Cisco Guard.

Алексей Белкин: Если речь идет о клиентской машине (не о сервере), для более-менее успешного отражения целенаправленной атаки, с сохранением возможности работать за компьютером, достаточно двух факторов:

1) наличие брандмаэура с возможностями противостояния DDoS -атакам, такого как Outpost Firewall Pro;

2) активированности всех компонентов брандмаэура, ответственных за сетевую безопасность. Но самый эффективный способ защиты от масштабных DDoS-атак – это совместная работа с хостинг-провайдером, так как именно там находятся первые после вас лица, заинтересованные в том, чтобы поток «мусорных» данных был остановлен. Большинство хостинг-провайдеров уже имеет достаточный опыт по эффективной борьбе с DDoS-атаками, но, к сожалению, они очень редко встречают поддержку в этом вопросе со стороны атакуемых клиентов, которые ничего об этом знать не хотят.

Михаил Кондрашин: Угрозы ботнетов весьма разносторонние, и универсального средства защиты не может быть, но более или менее универсальным средством защиты является блокировка центров управления ботнетом на уровне интернет-провайдера. Подобные технологии работают на уровне BGP и применимы только к сети провайдера. После подключения интернет-провайдера к этому сервису все члены ботнета, которые выходят в Интернет через него, оказываются отключенными от центра управления и больше не рассылают спам, не участвуют в DDoS-атаках и т.д.

Ольга Горшкова: Ботнеты в большинстве своем создаются с применением rootkit-технологий. Проблема руткитов - модулей, скрывающих присутствие вредоносного ПО на компьютерах пользователей, - до сих пор остается одной из основных головных болей производителей решений по информационной безопасности. Поэтому для борьбы со скрытыми процессами/модулями на ПК создаются специальные anti-rootkit решения, которые и могут в данном случае защитить пользователя от ботнет-угрозы. Существует несколько таких, в основном западных, решений, например, RootkitRevealer, F-Secure BlackLight Rootkit Eliminator, UnHackMe, System Virginity Verifier. Есть и российские разработки, такие, как AVZ и Safe'n'Sec Rootkit Detector.

- Вопрос о технологии борьбы с ботнетами. Что конкретно может сделать антивирус? Брандмауэр? Являются ли они в данном случае взаимодополняющими средствами защиты?

Виктор Сердюк: Безусловно, для комплексной защиты сети предприятия от несанкционированной установки bot-агентов необходимо применять антивирусы и межсетевые экраны. Антивирус позволяет провести сканирование файловой системы компьютера и своевременно выявить вредоносный код, который используется злоумышленниками для внедрения bot-агентов на рабочие станции пользователей. Межсетевой экран же дополняет антивирусные средства защиты посредством блокирования атак злоумышленников на уровне сети посредством фильтрации потенциально опасных пакетов данных. В дополнение к стандартным средствам защиты также могут использоваться специализированные сервисы, такие как ZombieAlert компании Sophos. Подписавшись на данный сервис, клиент получает уведомления в том случае, если будет зафиксировано, что с IP-адресов его сети осуществляется DDoS-атака и выполняется рассылка спама или вирусов.

Алексей Белкин: Как заявляют лидеры АВ-индустрии, их продукты научились детектировать сигнатуры вредоносных программ, включающих компьютер-жертву в ботнет, с высокой степенью точности. Они же приводят показатели распространенности botware, колеблющиеся в районе 10% от всего числа угроз. Известно также, что в Китае и в США, откуда исходит львиная доля DDoS-атак, популярны некоторые комплексные решения на базе антивирусов, но уменьшилось ли количество атак из этих стран в последнее время? Как показывает практика, основная нагрузка по защите от такого ПО перекладывается на программные решения, использующие проактивные технологии. Так что основная возможность борьбы с ботнетами - это защита своего ПК, а именно предотвращение попадания его в ботнет. Решается это за счет комплексного подхода – обнаружения и деактивации угроз-«ботов» антишпионским-антивирусным движком, запрета сетевой активности для неизвестных приложений (функция брандмауэра), запрет на изменение компонентов приложений (механизм локальной безопасности), -все эти компоненты встроены в современные брандмауэры.

Михаил Кондрашин: Все современные антивирусы способны удалить ботов, но брандмауэр также необходим, так как он позволяет обнаружить и заблокировать бота, еще неизвестного антивирусу.

Ольга Горшкова: Антивирус может детектировать установленный на вашем компьютере бот (автономное ПО), если его сигнатура уже есть в антивирусной базе данных, то есть разработчикам антивирусного ПО он уже известен. Но ведь это может оказаться и не так. Брандмауэр сможет детектировать бот на стадии анализа трафика, если в нем есть интегрированная IDS (система обнаружения вторжений) - система анализа трафика на предмет использования запрещенных портов, анализа содержимого пакетов трафика. Если же ботам все-таки удалось проникнуть на ваш компьютер, то при старте любой вредоносной активности на вашем ПК (запуск DDos-атаки, спам-рассылки), эти вредоносные действия будет заблокированы HIPS-системой - системой предотвращения вторжений. Поэтому все эти виды ПО для IT-безопасности взаимодополняют друг друга и хороши именно в комплексном решении.


Спонсор «Темы Недели»

 


Добавьте комментарий
Для размещения комментария необходима регистрация или авторизация:
 пользователь:   
 запись OpenID: 


Заработай деньги
на своём сайте!
Новый сервис монетизации СМИ и блогов.
Приглашаем сайты к бета-тестированию →
Новости СМИ2

ТЕМА НЕДЕЛИ


Rambler's Top100