Web 2.0 udostępnia cyberprzestępcom możliwość korzystania z szerszego pasma, większej liczby kanałów komunikacyjnych (np. komunikatory, P2P) oraz nowych opcji po stronie klienckiej. Co gorzej, wielu użytkowników wykazuje duża beztroskę w sprowadzaniu mało wiarygodnej zawartości. Pracownicy, którzy nigdy nie otwierali załączników poczty pochodzącej z nieznanych źródeł, teraz sprowadzają klipy z YouTube nie znając ich pochodzenia. Rozpoznawanie miejsc złośliwych staje się coraz trudniejsze.

Jednym z bardziej wymyślnych, nowych zagrożeń są botnety. Zbiór programowych robotów znanych jako 'boty' pracuje na przejętych komputerach zwanych 'zombie', kontrolowanych przez infrastrukturę komunikacyjną oznaczaną skrótem C&C (Command and Control). Wartość botnetów jest proporcjonalna do liczby maszyn, które kontrolują, oraz zagregowanego pasma, jakim dysponują.

Zobacz również:

• Jak zaplanować rodzinne święta? AI przygotuje perfekcyjny program

Z chwilą przejęcia peceta, bot zaczyna skanować sieć w poszukiwaniu innych hostów ze słabymi punktami, w celu przejęcia nad nimi kontroli. Wyniki takich przeszukiwań są przekazywane do C&C. C&C przesyła instrukcję i ładunek do wykonania, który może być programem wysyłającym spam lub gromadzącym poufne dane, a także wyprowadzającym atak DDoS.

Początkowo botnety były kontrolowane przez pojedyncze ośrodki C&C. Dzisiaj większość botnetów zawiera wiele centrów C&C, ukrywających się w wielu serwerach, które potrafią przekazać sterowanie na nowy serwer w ciągu kilku minut. 'Właściciele' botnetów współpracują miedzy sobą dzieląc się pulą botów czy serwerami C&C w celu zwiększenia odporności na ubytki w sieci. Boty coraz szerzej wykraczają poza pierwotny cel - desktopy - i infekują teraz również serwery, w tym również serwery pocztowe i uniksowe.

Dobre praktyki w wykrywaniu botów

Rozmiar ruchu generowanego przez C&C jest świadomie utrzymywany na niskim poziomie, co pozwala im uniknąć wykrycia przez tradycyjne systemy wykrywania wtargnięć. Chociaż niektóre IPS i usługi monitorowania bezpieczeństwa mogą wykrywać ruch związany ze spamem lub atakami DDoS, z określonych adresów IP wewnątrz organizacji, to jednak nie mogą one definitywnie potwierdzać czy maszyny w sieci organizacji są zainfekowane, ani też które z nich generują taki ruch. Potrzebne jest identyfikowanie przejętych maszyn poza zaporą ogniową, czyli zdolność do monitorowania wewnętrznego ruchu w sieci, niezależnie od kontroli danych wchodzących i wychodzących z sieci przedsiębiorstwa. Takie monitorowanie pozwala określić jak botnety rozprzestrzeniają się wewnętrznie, wysyłając spam, generując ataki DDoS itp. Idealny system bezpieczeństwa powinien także blokować komunikację wychodząca z zainfekowanych maszyn i nawet automatycznie wysłać moduł specjalnego agenta do ich oczyszczenia.

Tak jak dla innych problemów bezpieczeństwa, nie ma jednego uniwersalnego środka ochrony przed botami, ale jednym z podstawowych kroków jest zaimplementowanie ochrony warstwowej (desktop+ brama), która ograniczy liczbę infekcji. Oprócz tego przedsiębiorstwa potrzebują systemu wczesnego ostrzegania, który może wykrywać zainfekowane pecety w ich sieciach i blokować transmisję wrażliwych danych.

Według najnowszych badań Gartnera, perymetr Weba pozostaje największą niechronioną granicą w większości dzisiejszych sieci. Chociaż większość przedsiębiorstw filtruje URLe, to jednak tylko 15 proc. stosuje odpowiednia ochronę przed szkodliwymi kodami pochodzenia webowego. Firma badawcza przewiduje, że do końca br. 75 proc. przedsiębiorstw będzie zainfekowanych przez ukryte kody szkodliwe, przenikające przez tradycyjny perymetr ochrony i ochronę hostową.