Symantec claimt dat zijn onlangs gelanceerde Endpoint Protection-oplossing nieuwe tools bevat om botnets effectief te kunnen detecteren. Volgens het beveiligingsbedrijf wordt de benodigde informatie uit zijn Global Intelligence Network gedestilleerd, waarbij wereldwijd 40.000 detectiepunten worden gebruikt. Door de informatie te bundelen, denkt Symantec de zogenaamde command and control centers van de botnets te kunnen detecteren, waardoor geïnfecteerde pc’s op een bedrijfsnetwerk makkelijker gevonden kunnen worden.
Tegenover InfoWorld vertelde Grant Geyer van Symantec dat het gevaar van botnets nog steeds groeiende is. In de eerste helft van 2007 zou het aantal besmette computers op vijf miljoen liggen. Daarmee is de hoeveelheid ‘zombies’ ten opzichte van dezelfde periode in 2006 met zeven procent gestegen.
Het grootste probleem bij het bestrijden van botnets is volgens Geyer dat de aansturingscentra steeds van lokatie veranderen. Gemiddeld zou het hoofdkwartier van een botnet om de vier dagen verhuizen naar een ander ip-adres. Daarnaast zouden de huidige ids-systemen onvoldoende in staat zijn om de meer geavanceerde botnets te kunnen detecteren. ‘Als de enige aanwijzing voor een infectie is dat data via een bepaalde poort het netwerk verlaat, dan is de kans groot dat een ids dat niet ziet,’ aldus Geyer. Het realtime en automatisch samenstellen van command center-blacklists zou dit probleem kunnen oplossen.
Ook het bedrijf Arbor, met isp’s en grote bedrijven als voornaamste klanten, heeft zijn software voor realtime netwerkanalyse voorzien van botnetdetectoren. Het PeakFlow SP-pakket zou botnetaanvallen kunnen onderscheppen, nog voordat de eindgebruiker bereikt wordt. Door bij de toegang al een voorselectie te maken, kunnen providers volgens Arbor het aantal zombies op hun netwerk terugdringen.
Analisten onderkennen het groeiende gevaar van botnets. Andrew Jaquith van het onderzoeksbureau Yankee Group stelt dat het fenomeen botnet het meest acute maar ook het meest onderbelichte beveilingsprobleem van 2007 is, waar ook grote ondernemingen nog onvoldoende bewust van zijn. Hij vraagt de makers van beveilingssoftware dan ook om lage prijzen voor detectiesoftware te rekenen of de software zelfs gratis ter beschikking te stellen. Ook pleit Jaquith voor een andere houding van isp’s. Zij zouden meer moeten gaan werken met whitelists: in plaats van al het dataverkeer klakkeloos op hun netwerken toe te laten, zouden zij alleen vertrouwde partijen moeten dulden.
Ik maak graag vrijblijvend kennis om mee te denken over jouw plannen. Met mijn ervaring en netwerk help ik je om ideeën om te zetten in concrete en succesvolle resultaten.
Bezoekadres
Europalaan 33-14
6199 AB Maastricht-Airport (NL)
Postadres
Bellefroidlunet 23a
6221 KS Maastricht (NL)
Kamer van Koophandel
14089683
