Bescherm je bedrijfsnetwerk tegen botnets

Nederland is voor cybercriminelen een aantrekkelijk doelwit.

Vooral zakelijke netwerken zijn kwetsbaar voor botnets. Recent onderzoek van netwerkspecialist Level 3 Communications laat zien dat meer dan de helft van actieve command & control (C2) servers communiceert met een zakelijke omgeving.

Elke dag vinden duizenden DDoS-aanvallen plaats, die worden aangestuurd door command & control (C2) servers. Deze hebben het in toenemende mate voorzien op zakelijke netwerken, niet alleen om deze in te zetten in een botnet voor een DDoS, maar ook om bedrijfsoperaties te saboteren en intellectueel eigendom te stelen. Uit onderzoek van Level 3 Communications in het eerste kwartaal van 2015 naar de gedragingen van 1000 willekeurige C2-servers, blijkt dat 600 het voorzien hebben op bedrijfsnetwerken.

Met name Nederland is voor cybercriminelen een aantrekkelijk doelwit om een C2-server te laten draaien. De robuuste infrastructuur van dit land in combinatie met aantrekkelijke bedrijven in de nabijgelegen omgeving, maakt dat na Oekra´ne en Rusland ons land koploper is in C2-servers. Deze honderden servers verbinden gemiddeld met 1700 hostcomputers, wat maakt dat miljoenen computers vanuit Nederland bedrijfsnetwerken bestoken met kwaadaardig verkeer.

Liever overnemen dan zelf configureren

Het overnemen van een server voor een botnet is voor criminelen zeer lucratief. Als de hacker de computer heeft overgenomen, wordt een standaardoplossing ge´nstalleerd om de server voor meerdere criminele doeleinden in te zetten. De operationele kosten van een gestolen server zijn enorm gering en hoe meer servers worden overgenomen, hoe groter de kans dat een botnet na een politie-actie snel weer online kan komen.

Level 3 raadt IT-afdelingen aan regelmatig na te gaan of servers met botnets communiceren. Het komt vaak voor dat ze ongezien bijvoorbeeld phishingmail versturen, en wees extra alert op de gevaarlijke landen die de netwerkbeveiliger in zijn rapport noemt. Het kan een idee zijn om je verkeer via een serviceprovider met een Access Control List (ACL) te laten verlopen, zodat gevaarlijke domeinen en adressen automatisch worden geblokkeerd. Bovendien ben je door alleen HTTP en HTTPS verkeer toe te staan, automatisch immuun voor aanvallen via NTP, SSDP, DNS en andere protocollen.

Een andere, verstandige vorm van verdediging is verkeer via een DDoS 'scrubbing centre' te laten verlopen. Zo'n digitale wasstraat ontmaskert kwaadaardige netwerkpakketten en kan een aanval van buitenaf voortijdig stoppen. Zorg ervoor dat het scrubben niet te ver weg gebeurt, aangezien er door het doorsturen latency kan optreden.

Zorg ervoor dat je ge´nformeerd blijft

Maar misschien nog het meest belangrijk is op de hoogte blijven van de laatste aanvalstactieken van cybercriminelen. Op het blog van Level 3 Threat Research Labs geeft de leverancier met regelmaat tekst en uitleg over complexe aanvalsmethoden en geeft het tips aan IT-afdelingen om zichzelf tegen botnets te beschermen. Alleen door informatie met elkaar te delen, kunnen we kwaadwillende hackers een stap voor blijven.