Las botnets existen desde hace casi dos décadas. Sin embargo, a pesar de ser una amenaza de larga data y ampliamente conocida, todavía tienen el poder de causar estragos en las redes de una organización y, a menudo, lo hacen con éxito evadiendo la detección.
La mayoría de las familias de malware contemporáneas han configurado botnets para conexiones de comando y control (C2). Es lógico que el número de botnets activas crezca en sincronía con el número de familias y versiones de malware. Cuando Investigadores de los laboratorios FortiGuard Al analizar la actividad de las botnets durante la primera mitad de 2023, vimos que actualmente hay más botnets activas, lo que inevitablemente aumenta las posibilidades de que las organizaciones se vean afectadas por esta amenaza.
Sin embargo, lo que es más preocupante es que observamos un aumento en el tiempo de permanencia: los botnets permanecen en las redes más tiempo que nunca antes de ser detectados. Esto subraya el hecho de que reducir el tiempo de respuesta es fundamental porque cuanto más tiempo permitan las organizaciones que permanezcan las botnets, mayor será el daño y el riesgo para el negocio.
La actividad de las botnets y el tiempo de permanencia están aumentando
El número de botnets activas creció en el primer semestre de 2023, un 27% más que en el semestre anterior. También vimos una mayor tasa de actividad de botnets (+126%) entre las organizaciones al comparar esos mismos períodos.
Las botnets son como invitados no invitados que simplemente no se van.
La verdadera revelación de las tendencias de las botnets en el primer semestre de este año es el fuerte aumento en el número total de «días activos», el período entre el inicio de la actividad de una botnet y la terminación de sus comunicaciones C2. . En comparación con las mediciones realizadas a principios de 2018, esto revela un aumento de más de 1.000 veces, lo que demuestra que las botnets se han vuelto más tenaces en los últimos cinco años.
A medida que las botnets se adaptan rápidamente y amplían la variedad de dispositivos en los que pueden infiltrarse y controlar automáticamente (incluidos algunos dispositivos que tradicionalmente no han sido inspeccionados de cerca, como IoT), hay más vulnerabilidades y exploits que nunca que las botnets pueden aprovechar.
Recuperar el control de las botnets
Reducir el tiempo de respuesta es vital. Cuanto mayor sea el tiempo de permanencia, más probable será que las botnets afecten a una empresa, especialmente teniendo en cuenta que las botnets pueden propagarse a través de muchos dispositivos en un corto período. ¿Cómo pueden los equipos de seguridad mejorar los procesos de detección y reducir el tiempo necesario para responder a una actividad maliciosa?
Los profesionales de la seguridad deben tener múltiples herramientas y estrategias a su disposición para proteger las redes de su organización contra botnets. Un primer paso obvio es impedir el acceso a todas las bases de datos C2 reconocidas. A continuación, aproveche el control de aplicaciones para restringir el acceso no autorizado a sus sistemas. Además, utilice el filtrado del Sistema de nombres de dominio (DNS) para apuntar explícitamente a las botnets, concentrándose en cada categoría o sitio web que pueda exponer su sistema a ellas. El filtrado de DNS también ayuda a mitigar los algoritmos de generación de dominios que suelen utilizar las botnets.
Monitorear los datos mientras entran y salen de los dispositivos también es vital, ya que puede detectar botnets cuando intentan infiltrarse en sus computadoras o en aquellas conectadas a ellas. Esto es lo que hace que la información de seguridad y la tecnología de gestión de eventos combinadas con indicadores maliciosos de detecciones de compromisos sean tan fundamentales para la protección contra bots. Y no olvide la importancia de utilizar contraseñas seguras para evitar que los piratas informáticos accedan a su sistema a través de dispositivos desprotegidos.
Fortalezca sus defensas contra actividades maliciosas
Llevando sus medidas de seguridad un paso más allá, la tecnología de detección y respuesta de red (NDR) es ideal para ayudar a detectar botnets sofisticadas en todo su entorno, ofreciendo una inspección profunda de contenido continua, impulsada por IA, sin necesidad de agentes instalados. NDR brinda a los equipos de seguridad la capacidad de detectar comportamientos sospechosos de manera temprana, lo que reduce el tiempo y los recursos necesarios para contener la actividad potencialmente maliciosa.
La necesidad de una solución de operaciones de seguridad es primordial para la detección temprana. Al utilizar tecnologías de procesamiento electrónico de datos, incluida la detección y respuesta de terminales o la detección y respuesta extendidas, las organizaciones pueden acortar el tiempo que lleva descubrir amenazas de semanas (si es que se notan) a menos de una hora y, con frecuencia, a apenas segundos. Elija soluciones que utilicen análisis de comportamiento avanzados e inteligencia artificial, preferiblemente aquellas que estén diseñadas para funcionar juntas como parte de una solución de plataforma más amplia e integral. Con una estrategia integrada y un enfoque de plataforma para las operaciones de seguridad, el tiempo necesario para evaluar y contener se reduce drásticamente. Un enfoque de plataforma facilita la simplificación de redes complejas, la seguridad de los usuarios distribuidos y la protección de aplicaciones híbridas, todo lo cual es fundamental a medida que se intensifica el panorama de amenazas (y la actividad de los bots).
Si no tiene los recursos dentro de su organización para monitorear y administrar consistentemente estas herramientas y procesos, adopte una oferta de detección y respuesta administrada para aumentar las capacidades de su equipo interno.
Un atributo menos discutido pero igualmente importante de una defensa sólida contra las amenazas cibernéticas es un programa integral y continuo de concientización sobre la ciberseguridad. Sus empleados tienen el potencial de ser su mejor defensa o su eslabón más débil, pero sólo pueden defender eficazmente su organización si tienen el conocimiento y las herramientas adecuados para hacerlo. Desde comprender cómo desarrollar buenas contraseñas hasta examinar correos electrónicos, mensajes de texto, mensajes de redes sociales y enlaces que parezcan sospechosos, cada persona de su organización tiene un papel que desempeñar para mantener la seguridad del negocio.
Di adiós a los invitados persistentes
La proliferación de botnets indica un panorama de amenazas en expansión. Nuestro análisis revela que no sólo están aumentando las botnets activas, sino que también está aumentando la actividad entre las organizaciones. Sin embargo, lo más alarmante es su tenacidad: sus “días activos” se han multiplicado por más de 1.000 en cinco años. La urgencia radica en reducir el tiempo de respuesta; A medida que las botnets persisten, los daños y los riesgos aumentan.
La detección eficaz exige filtrado de DNS, control de aplicaciones y un enfoque de seguridad basado en una plataforma basada en IA. La mitigación implica atacar los dispositivos comprometidos, desactivar los centros de control y aplicar medidas de seguridad más estrictas en toda la empresa. Un esfuerzo proactivo es clave para proteger su organización de las botnets. Implemente estas recomendaciones y diga “adiós” a estos invitados no deseados.