Читайте статью
Image

NGFW, который тормозит сеть — это не защита

Эксперты протестировали 12 NGFW в условиях реальной нагрузки. Результаты расходятся с обещаниями вендоров.

Хакеры из Китая придумали, как сделать блокировки бесполезными. Спойлер: помог ваш роутер

leer en español

Китай ботнет маршрутизатор Великобритания атака
Хакеры из Китая придумали, как сделать блокировки бесполезными. Спойлер: помог ваш роутер
Китай ботнет маршрутизатор Великобритания атака

Британский центр кибербезопасности опубликовал рекомендации по защите от масштабных ботнет-атак.

image

Хакеры, связанные с Китаем, сменили привычную тактику и начали использовать сети из взломанных устройств. Речь идёт не о нескольких серверах, а о тысячах домашних маршрутизаторов и других сетевых устройств, включая подключенные к интернету камеры, видеорегистраторы и сетевые хранилища (NAS), объединённых в скрытые ботнеты.

Такие сети применяют на всех этапах атаки. С их помощью собирают информацию о целях, доставляют вредоносные программы, управляют заражёнными системами и выводят украденные данные. При этом инфраструктура обходится дёшево и быстро меняется, что делает классические списки заблокированных адресов практически бесполезными.

Под удар попадают организации, включая критически важные сервисы. Злоумышленники могут красть чувствительные данные и нарушать работу систем. Ситуацию усложняет то, что ботнеты постоянно обновляются. Узлы в таких сетях быстро исчезают и появляются снова, а разные группировки могут использовать одни и те же устройства. В результате признаки взлома устаревают почти сразу после того, как их обнаруживают.

Британский национальный центр кибербезопасности вместе с партнёрами (США, Австралия, Канада, Германия, Япония, Нидерланды, Новая Зеландия, Испания, Швеция) подготовил рекомендации для защиты от подобных атак. Ведомство советует компаниям внимательно отслеживать трафик сетевых устройств, особенно подключений через виртуальные частные сети и удалённый доступ. Также предлагают использовать динамические источники данных об угрозах, которые учитывают признаки активности таких скрытых сетей.

Для защиты удалённого доступа рекомендуют включить двухфакторную аутентификацию. По возможности стоит внедрять подход нулевого доверия, ограничивать доступ по спискам разрешённых адресов и проверять устройства по сертификатам. Крупным организациям и компаниям с повышенными рисками советуют искать подозрительный трафик от бытовых и интернет-устройств, анализировать географию подключений и применять системы обнаружения аномалий.