Botnet Mirai: koruma yok ve beklenmiyor!
Mirai botnet'in kaynak kodu Ekim 2016'da yayınlandığında, siber güvenlik web gazetecisi Brian Krebs'in tahminde bulunmak için uzun bir tahminde bulunmasına gerek yoktu: IP kameralar, dijital kayıt cihazları ve diğer hacklenmesi kolay çevrimiçi cihazlar." Bildiğiniz gibi gazetecinin kendisi Mirai botnet'in ilk hedeflerinden biri oldu. Bay Krebs'in öngörüsü ne ölçüde kehanet oldu?
Şimdi aradan üç yıl geçtikten sonra bu olayın çok büyük etkisi olduğu ve olumsuz etkisinin hızla artarak devam ettiği söylenebilir:
- En iyi güvenlik araştırmacılarından ve mühendislerinden bazılarından oluşan NETSCOUT ATLAS Güvenlik Mühendisliği ve Müdahale Ekibi (ASERT) ekibi, son üç yılda tanımlamayı başardı ve şu anda 20.000'den fazla Mirai kötü amaçlı yazılım türünü izliyor.
- ASERT araştırmacıları, IoT botnet'leri tarafından desteklenen küresel DDoS saldırılarının sıklığının yıl içinde %39 arttığını belirtiyor (2019'un ilk çeyreği sonu itibarıyla ekip tarafından sağlanan istatistiklere göre).
- Aynı dönemde, ASERT mühendisleri DDoS saldırılarının sayısında %776 gibi şaşırtıcı bir artış kaydetti ve trafiğin zirvesi 100'den 400 Gbps'ye ulaştı.
-
Ayrıca, Reversing Labs ile yakın işbirliği içinde çalışan ASERT ekibi,
Mirai botnet'in son üç yıldaki yeni varyasyonlarının görünümünün
kronolojisini gösteren bir grafik hazırladı ve sundu.
Mirai botnet ve klonları daha da büyüyecek!
Şu anda, internete bağlı, gezegenimizde yaşayan insanlardan daha fazla savunmasız IoT cihazı var. Ve bu tür cihazların sayısı her gün 7 milyon artıyor.Ev yönlendiricisi veya endüstriyel ölçekli bir video gözetim sistemi olsun, tüm bu IoT cihazlarının çoğu kullanıcısı, güvenlikleri hakkında tehlikeli bir yanılgıya sahiptir: kullanıcılar, IoT cihazlarının sadece internete bağlı olun ve güvenli bir şekilde çalışacaklar. Ancak gerçek, onların saf güvenlerinden uzaktır.
Başka bir deyişle, saldırganlar için IoT cihazlarının çığı,
"yiyebileceÄŸiniz her ÅŸeyi alabileceÄŸiniz" bir smorgasbord
gibidir. Örneğin, 2019'un ilk yarısında NETSCOUT bal küpleri (saldırganlar için
yem görevi gören web tabanlı bilgi güvenliği araştırma kaynakları), Mirai
kötü amaçlı yazılım çeşitlerinden birini sunmak için standart veya önceden
tanımlanmış yönetici kimlik bilgilerini kullanan 61.220'den fazla
benzersiz deneme kaydetti. Ayrıca, büyük botnet operatörleri World Wide Web'de görünen yeni
cihazları sürekli olarak tarıyorlar ve NETSCOUT Güvenlik Teknolojisi
Direktörü Gary Sockrider'a göre,
Ancak World Wide Web'deki büyük botnet operatörlerinin aradığı tek ÅŸey yeni IoT cihazları deÄŸil. Bay Socrider, "Ayrıca yeni keÅŸfedilen IoT güvenlik açıklarından yararlanmaya çalışıyorlar" diyor. “ DevOps ve geliÅŸtirme sürecini hızlandırma hakkında çok konuÅŸuyoruz. Ancak, saldırganlar da aynısını yapar. AraÅŸtırmacılar, bu açıkları 5 gün içinde hedeflere yönelik saldırılara dönüştürüyor.”
Mirai gibi botnet saldırıları nasıl durdurulur?
IoT cihaz üreticilerinin yakın gelecekte ürünlerinin güvenliğine
yönelik yatırımları önemli ölçüde artırma niyetinde olmadığı oldukça
açıktır. Aynı zamanda, ağ içindeki ve dışındaki sistemlere bağlanan sayısız
makineden makineye cihaz üzerinde neredeyse hiçbir kontrol olmaksızın
statükoyu korumak, bir felaket reçetesidir.
BT, ağ oluşturma ve güvenlik ekiplerinin şu anda karşılaştığı büyük soru şudur: Her gün gücü artan saldırıların etkisini nasıl azaltabiliriz? NETSCOUT uzmanlarından bazı öneriler:
-
Geliştirilmiş görünürlük
NETSCOUT'un 14. Yıllık Dünya Çapında Altyapı Güvenlik Raporu (WISR )) hizmet sağlayıcıların, IoT tabanlı DDoS saldırılarının ağları ve müşterileri üzerindeki olumsuz etkileri konusunda artan endişelerini dile getirdiklerini belgeledi. Bu arada, hizmet sağlayıcıların %46'sı giden ve ara DDoS saldırılarını bile izlemiyor. Bu alandaki görünürlük eksikliği bir endişe kaynağıdır, çünkü bu tür saldırılar aynı zamanda kullanıcı yönlendirici kümeleri üzerinde olumsuz bir etkiye sahiptir ve müşteri deneyiminin kalitesini olumsuz etkiler. İdeal olarak, her kuruluş hem giden hem de ara DDoS saldırılarını ve ayrıca gelen DDoS saldırılarını derhal tespit etmeli ve başarılı bir şekilde karşı koymalıdır.
-
AÄŸ segmentasyonu
Nesnelerin İnterneti çağında, ağ segmentasyonu her zamankinden daha önemli. Birden fazla savunmasız çevrimiçi cihaz, davetsiz misafirlerin ağ saldırılarının olumsuz etkisini çoğaltır ve kuruluş genelinde diğer sistemler ve uygulamalarla yetkisiz iletişimi önlemek için izole edilmelidir. Örneğin, ağın bir bölümü endüstriyel IoT ekipmanına, bir diğeri iklim kontrol sistemlerine, üçüncüsü yazıcılara vb. ayrılmalıdır.
-
Çok katmanlı DDoS koruması
Mirai kötü amaçlı yazılımına dayalı botnetler, uygulama katmanı saldırıları, bant genişliği taşmasını hedefleyen hacimsel saldırılar ve birden çok hedef ve yöntemi birleştirebilen çok vektörlü saldırılar başlatmak için kullanılabilir. Bu nedenle, DDoS korumasının en iyi uygulamaları, hem uygulama katmanı saldırılarına karşı şirket içi korumaya hem de devasa hacimsel saldırılara karşı bulut tabanlı korumaya dayanır.
Mirai kötü amaçlı yazılımına ve türevlerine dayalı botnet'lerin artan olumsuz etkisi hakkında daha fazla bilgi edinmek için NETSCOUT Tehdit İstihbarat Raporuna bakın.