Una botnet è composta da numerosi dispositivi connessi alla rete internet: PC, Server, Dispositivi Mobili, Smart Object…tutti infettati da un malware specializzato e controllati da un cyber criminale definito botmaster. Questi apparati, una volta infettati, diventano membri (bot) di una rete all’insaputa dei legittimi proprietari.
Le botnet vengono costruite e manutenute da questi soggetti che così si dotano di una potente e numerosa rete di computer da usare per sferrare attacchi simultanei di Distribuite Denial of Service (DDoS) contro i server delle aziende prese di mira oppure per sfruttare le risorse della botnet per “minare” bitcoin o per usare la potenza di calcolo dell’intera rete per decodificare chiavi SSL non molto efficaci.
Qualsiasi dispositivo entri in contatto con la rete contaminata può, di riflesso, essere infettato e diventarne parte. Evitare di essere parte di una botnet è abbastanza semplice, basta dotarsi di dispositivi di protezione efficaci che proteggano la periferia della rete. Un buon firewall, come per esempio Sophos XG, può aiutare a proteggere i nostri dispositivi da qualsiasi forma di strategia malware usata come arruolatore di bot, oltre a proteggerci da attacchi ai nostri server da parte di botnet. La tecnologia XG, infatti, permette di individuare e bloccare le botnet ed evita che le proprie risorse aziendali siano utilizzate da altri per scopi illeciti.
Le botnet, come ogni altro tipo di malware, si insediano nella rete utilizzando stratagemmi tipici di un attacco informatico:
- Allegati e-mail: i malware vengono inviati come allegati e-mail o all’interno di campagne spam o phishing cercando di persuadere l’utente ad aprire l’allegato
- Siti web: i siti compromessi contengono malware che possono essere eseguiti dal browser in modo invisibile, scatenando una serie di eventi che, testando le vulnerabilità del sistema e l’assenza delle patch aggiornate di sistema, le sfruttano per prendere il possesso del dispositivo
- Accesso remoto: i dispositivi IoT (Intenet of Things) sono gli elementi più pericolosi perché permettono l’accesso diretto da remoto con le credenziali di fabbrica se non vengono adeguatamente cambiate in fase di installazione e inserimento nella propria rete.
- Chiavi USB: il pericolo riguarda la connessione di un dispositivo USB di origini ignote al proprio pc senza che sia sottoposto ad adeguati controlli prima.
Una volta insediatosi all’interno dei dispositivi dell’azienda il malware effettua il “Call-home” per:
- Contattare il server di “comando e controllo” degli hacker
- Segnalare il successo dell’operazione e il controllo del dispositivo
- Essere in attesa di ulteriori informazioni per agire al comando
Per assicurarsi una protezione completa contro gli attacchi sferrati da botnet oltre che avere la sicurezza che i propri dispositivi non siano parte di una rete di schiavi pronti all’attacco bisogna dotarsi di un buon firewall che ci permetta anche di individuare eventuali dispositivi infetti presenti nella nostra rete:
L’Advanced Threat Protection di Sophos, presente nel firewall XG, permette di identificare le botnet già operative all’interno della rete attraverso specifiche funzionalità:
- Rilevamento traffico malevolo
- Rilevamento delle botnet
- Rilevamento del traffico di tipo “call-home” verso i server di comando e controllo
Inoltre la Syncronized Security fra l’antivirus sugli endpoint e/o server e Il firewall è in grado di bloccare e isolare il dispositivo infetto fin quando non viene bonificato permettendo, al contempo, l’investigazione di tutte le attività che hanno portato all’infezione.
- Prevenzione delle intrusioni (IPS): questo sistema è in grado di rilevare i tentativi di violazione delle risorse di rete da parte degli hacker camuffati nei siti web compromessi. Il firewall XG quindi:
Dispone di un sistema di prevenzione delle intrusioni che identifichino il pattern di attacco all’interno del traffico di rete
Rileva le tecniche di hacking che sfruttano le vulnerabilità dei Sistemi Operativi
Rileva i movimenti laterali del malware all’interno della rete
Sandboxing: permette di individuare i diversi tipi di malware prima che riescano ad infiltrarsi nei dispositivi, attraverso prove in ambienti isolati di esecuzione dei files ricevuti. Il firewall XG di Sophos:
- Offre un sandboxing avanzato
- Individua file infetti sul web o allegati sospetti in e-mail ricevute
- Verifica, in un ambiente di sandbox sicuro, che questi files non contengano malware
Protezione per web ed e-mail: un’ottima strategia di protezione per web ed e-mail può risolvere il problema impedendo l’accesso alla rete di malware fatti per arruolare dispositivi nelle botnet. Il firewall XG:
- Offre protezione web basata sui comportamenti in modo da impedire che il browser apra la destinazione se il sito web è contraffatto
- Include le migliori tecnologie antispam e antivirus per rilevare i più recenti tipi di malware presenti negli allegati e-mail (oltre ad un adeguato sandboxing).
Web Application Firewall. Con questa opzione il firewall XG:
- Protegge i server e le applicazioni aziendali dagli hacker attraverso un reverse proxy
- Permette di inserire l’autenticazione e l’hardening dei sistemi software in modo da garantire l’immunità ai tentativi di hacking.
Tutte le reti sono vulnerabili e soggetti all’arruolamento a botnet senza preavviso per cui, oltre a dotarsi di strumenti come quelli esposti prima, bisogna seguire delle prassi e essere attenti a:
- Modificare tutte le password predefinite dei diversi dispositivi di rete scegliendone di più complesse e meno scontate
- Disconnettere da Internet tutti i dispositivi non essenziali e mantenere aggiornati solo quelli veramente fondamentali.
- Usare Server in cloud evitando l’utilizzo dell’accesso remoto e se proprio non ne possiamo fare a meno, adottare tutte le strategie possibili per dissuadere gli hacker dagli attacchi (ricordiamo che i cyber criminali si servono di software che effettuano la scansione delle reti in automatico utilizzando porte e vulnerabilità conosciute. per cui già il cambio di una porta per un servizio può garantirci, in alcune circostanze, una sicurezza adeguata. Se poi aggiungiamo anche una autenticazione forte – attraverso certificati digitali o One Time
- Password generata da apposite app per cellulari – allora abbiamo già un grado di sicurezza molto elevato)
- Evitare di abilitare UPnP sul router
- Usare tecnologie VPN per gestire dispositivi in remoto – meglio se di tipo SSL o IPsec.
Sophos XG Firewall offre tutte le tecnologie di cui abbiamo parlato finora, essenziali per la protezione della rete contro botnet, attacchi e minacce. Supporta anche una vasta gamma di tecnologie VPN per accesso remoto sicuro e una tecnologia proprietaria RED (Remote Ethernet Device) che permette di estendere la nostra rete agganciando una sede remota, in modo che questa risulti fisicamente collegata alla nostra rete aziendale a livello di trasporto (Layer 2).
Infine il meccanismo conosciuto come Sophos Security Heartbeat permette di avere la Sicurezza Sincronizzata e il controllo totale della rete aziendale di qualsiasi dimensione essa sia. Questo sistema eleva la protezione e la risposta alle minacce in maniera definitiva e rende i sistemi resilienti e sicuri ma, soprattutto, per la gioia dei sistemisti, completamente controllati.
Sophos è l’unico vendore a garantire tutte queste funzionalità!