כך תבטיחו שלא תהפכו לחלק מהבוטנט הבא

כמו כל נוזקה אחרת, בוטנטים מתחילים על ידי חדירה לרשת שלכם באחת מכמה דרכים קונבנציונליות שונות, ועליכם מוטלת האחריות לעשות הכל כדי לעצור את האפשרות שתהיו לאחד - כיצד?

09/10/2018 15:19
אריה דנון, מנהל אבטחת מידע באבנט תקשורת. צילום: יח"צ

השם הכללי "האינטרנט של הדברים", או IoT, כולל מגוון רחב של התקנים לא יקרים ופשוטים לשימוש שמאפשרים שליטה ויעילות בניהול העולם שלנו. יחד עם זאת, האוסף המסיבי הזה של התקנים מחוברים מייצג הזדמנות עצומה להאקרים שמחפשים דרכים לנצל מערכות חדשות לטובת הבוטנטים שלהם.

בהתקנים מחוברים אין התייחסות מספקת לאבטחת מידע. כמעט כל התקן IoT מגיע ממפעל שמשתמש בסיסמאות ברירות מחדל (שהבעלים כמעט אינם משנים), אשר מספקות התחברות וגישה ישירה לנוזקות.

מספר התקני ה-IoT עומד על סביב ה-500 אלף סביב העולם. לחלק נכבד מההתקנים הללו יש פרצות אבטחה או גישה דיאגנוסטית לסיסמאות. עם הצבא המסיבי החדש הזה של התקני האינטרנט של הדברים, המצטרף ללגיונות או למחשבים שהותקפו בעבר, פושעי הסייבר כעת מחומשים בהיקף חסר תקדים של כוח מחשוב.

כיצד בוטנטים עובדים ואיך אפשר לעצור אותם?

כמו כל נוזקה אחרת, בוטנטים מתחילים על ידי חדירה לרשת שלכם באחת מכמה דרכים קונבנציונליות שונות: קבצים מצורפים לאימייל (כחלק מקמפיין ספאם או פישינג); אתרי אינטרנט שמכילים נוזקה, המופעלת על ידי דפדפן; השגת שליטה על התקן IoT על ידי brute force; או ניצול פגיעויות בממשק ה-web; וכמובן חדירה באמצעות דיסק-און-קי.

ברגע שנוזקה חדרה לארגון, היא בדרך כלל "תתקשר הביתה" למרכז השליטה והבקרה של ההאקר, על מנת לרשום את ההצלחה ולבקש הוראות נוספות. ייתכן שהוא יורה לה להישאר שקטה ולחכות, במטרה לנוע בצורה רוחבית ברשת ולהדביק התקנים אחרים, או להשתתף בהתקפה. בהינתן טכנולוגיית אבטחה אפקטיבית, הניסיון "להתקשר הביתה" מציג הזדמנות אידאלית לזהות מערכות שהודבקו שהנן חלק מבוטנט.

מעבר לתקשורת הביתה, בוט ברשת שלכם יכול להיות קשה ביותר לזיהוי. התקן שנדבק ימשיך לפעול בצורה רגילה, או אולי יחווה האטה מסוימת בביצועים.

כאשר בוט ברשת שלכם נקרא לפעולה להשתתף בהתקפה, הוא בדרך כלל יתקשר למרכז השליטה והבקרה על מנת לקבל הנחיות דוגמת מטרה וסוג התקיפה. הדבר מציג הזדמנות אידיאלית נוספת לזהות את הבוטנט ברשת. יחד עם זאת, ברגע שההתקפה יוצאת לדרך, היא קשה מאד לזיהוי. ההתקן ישלח אימיילים (ספאם), יעביר נתונים (יגנוב מידע או יכרה ביטקוין), יחפש פרוטוקלי DNS או יבצע בקשות תעבורה רגילות (בשימוש בהתקפות DDoS). אף אחד מסוגי הפעילויות הללו בבידוד לא יפעיל נורה אדומה.

לבוטנטים יכולה להיות השפעה מכרעת על הארגון, במיוחד אם המטרה היא לגנוב מידע רגיש. מעבר לכך, הבוטנט יכול להשתמש בהתקנים וברשת ולגרום לנזק חמור לארגון אחר – אולי אפילו ארגון שאתם עושים איתו עסקים. אז, אל תאפשרו לרשת שלכם להפוך לחלק מהתקפת הבוטנטים הבאה.

איך להגן עם הארגון שלכם?

המרכיב החיוני להגנה אפקטיבית מפני בוטנטים הוא הפיירוול לרשת. חפשו את המרכיבים הבאים בפיירוול על מנת להבטיח שאתם מקבלים את ההגנה הטובה ביותר האפשרית:

  1. הגנת איומים מתקדמת – ATP – Advanced Threat Protection – וודאו שלפיירוול שלכם יש יכולות לזיהוי תעבורה זדונית, זיהוי בוטנטים וזיהוי "התקשרות הביתה" שלהם למרכז שליטה ובקרה.
  2. יכולות מניעת חדירה – וודאו שהפיירוול שלכם כולל מערכת הדור הבא למניעת חדירה (IPS – Intrusion Prevention System), שיכולה לזהות תבניות מתקדמות של התקפות בתעבורת הרשת, ניסיונות פריצה ונוזקות שנעות רוחבית בסגמנטים השונים של הרשת.
  3. ארגז חול – Sandbox – וודאו שהפיירוול שלכם מציע sandboxing מתקדם, שיכול לזהות קבצי web או אימייל חשודים, לנטרל אותם בסביבה בטוחה ולקבוע את התנהגותם לפני שמאפשרים להם להיכנס לרשת שלכם.
  4. הגנת web ואימייל – וודאו שיש לפיירוול שלכם הגנת web מבוססת התנהגות, שיכולה למעשה לחקות קוד JavaScript בתוכן של ה-web, על מנת לקבוע כוונה ואת ההתנהגות לפני שהוא מועבר לדפדפן. וודאו שהפיירוול, או פתרון סינון האימייל שלכם, כולל טכנולוגית אנטי-ספאם ואנטי-וירוס מתקדמת, לזיהוי הנוזקות האחרונות בקבצים המצורפים לאימייל.
  5. WAF – Web application Firewall – יכול להגן על שרתים, התקנים ויישומים מפריצות. וודאו שהפיירוול שלכם מציע הגנת WAF לכל מערכת ברשת שלכם, שדורשת גישה מרחוק באמצעות האינטרנט.

פעולות מיטביות שיש לשקול – הן לבית והן לארגון שלכם

  • סיסמאות ייחודיות ומורכבות לכל התקני הרשת שלכם ושימוש במנהל סיסמאות אם יש צורך.
  • צמצמו את השימוש בהתקני IoT ושדרגו התקנים ישנים לחדשים ומאובטחים יותר, וודאו שכל ההתקנים מעודכנים עם עדכוני הקושחה האחרונים.
  • המנעו מהתקני IoT שדורשים לפתוח יציאה בפיירוול או בראוטר להשגת גישה מרחוק. השתמשו בהתקנים מבוססי ענן, שמתחברים רק לשרתים של ספק הענן ואינם מציעים כל גישה ישירה מרחוק.
  • אל תאפשרו UPnP בפיירוול או בראוטר שלכם. הפרוטוקול הזה מאפשר להתקנים לפתוח יציאות בפיירוול לפי דרישה ללא ידיעתכם, דבר שמגדיל את שטח התקיפה האפשרי.
  • השתמשו בטכנולוגיות VPN מאובטחות לניהול התקנים מרחוק.

הכותב הוא מנהל מחלקת אבטחת המידע באבנט תקשורת, המפיצה את פתרונות Sophos בישראל

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. איש שלום

    ההצעה לחזור לנייר במקום קידמה טכנולוגית - מגוחך: צמצמו את השימוש בהתקני IoT ....

אירועים קרובים