Метод OVH для демонтажа бот-сетей зомби

Первый европейский хостер — главная цель для атак на отказ в обслуживании, которые все чаще проводятся через связанные объекты. OVH создал систему для автоматического отключения серверов в своей сети с учетом рисков. Интервью с Sébastien Mériot, одним из инженеров, стоящих за этим инструментом.

Борьба с ботнетами, этими крупными сетями зомби-устройств, требует обработки все большего количества данных, всегда быстрее. В декабре Botconf 2017 был помещен под знаком автоматизации и искусственного интеллекта (см. Наш отчет). Исследователи представили как обучающие инструменты, так и системы, способные разобрать программную цепочку, независимо от архитектуры, на которой они основаны.

По этому поводу Себастьян Мерио (Sebastien Mériot), инженер безопасности OVH, показал, как ведущий автоматизирует удаление серверов управления ботнетами в своей сети. «Первой угрозой для интернет-провайдера является атака распределенного отказа в обслуживании (DDoS), а не вымогательство. Если сеть падает, наша деятельность умирает », — заявил он. Это опасность того, что вредоносная программа для Internet of Things несет.

Интернет Вещей, идеальная морская свинка
«Мы выбрали вредоносное ПО IoT, потому что это поле, которое очень хорошо себя зарекомендовало: угроза быстро развивается, а вредоносное ПО обычно является довольно простым», — говорит Мериот в письменном интервью. Если они существуют с десяти лет, они получили признание в конце 2016 года, в результате кампаний, основанных на Mirai, в том числе и против Dyn, что сделало большое количество сайтов недоступными.

Эти атаки являются массовыми из-за плохой безопасности миллионов подключенных объектов, таких как камеры или маршрутизаторы. «Эти вредоносные программы почти все используют тот же факт: производители написали идентификаторы в коде, не имея возможности их изменить», — сказал специалист в декабре. Европейский союз готовится улучшить эту безопасность посредством будущей системы сертификации, ожидаемой в конце года.

К сожалению, трудно (если не невозможно) массировать зараженные объекты, которые экспоненциально увеличиваются. Нерв войны для поставщиков доступа и хостов — это поиск и демонтаж серверов управления и контроля (C & C). Они ведут атаки этих объектов зомби, с преимуществом над защитниками: они могут быстро перемещаться от хоста к хосту, исчезая так быстро, как они появились.

Игра в кошки-мышки, которую люди не могут обеспечить в одиночку.

0 комментариев

Оставить комментарий