Dostawcy usług internetowych osiągają sukces w walce z komputerami zainfekowanymi złośliwym oprogramowaniem

Komputery zainfekowane złośliwym oprogramowaniem pozostają poważnym problemem dla dostawców usług internetowych, ale dwie firmy zaprojektowały systemy, które znacznie uprościły ten problem.

Kiedy komputer zostaje zainfekowany złośliwym oprogramowaniem, jest często używany do wysyłania spamu. To sprawia, że ​​ISP wygląda źle, a także zasysa przepustowość, co powoduje, że sieci są bardziej zatłoczone.

Prawdziwy Internet, jeden z największych dostawców usług internetowych w Tajlandii, został dotknięty przez stale rosnącą liczbę zainfekowanych komputerami w sieci. Ruch spamu i złośliwego oprogramowania był tak poważny, że jego klienci - z których większość nadal korzysta z połączeń dial-up - narzekają na wolne prędkości, powiedział Tanapon Chadavasu, szef operacji sieciowych True Internet.

[Czytaj dalej: Jak w celu usunięcia złośliwego oprogramowania z komputera z systemem Windows]

Problemem było również obniżenie kosztów firmy, ponieważ przepustowość w tym obszarze jest droga, a do utrzymania sieci potrzebna jest większa ilość sprzętu, powiedział Chadavasu podczas prezentacji w środę na stronie Messaging Anti- Spotkanie grupy roboczej ds. Nadużyć w Amsterdamie.

Prawdziwie zainstalowany sprzęt internetowy od firmy Nowej Zelandii o nazwie Esphion, która identyfikuje nieprawidłowe zachowanie w sieci. Pasywne urządzenia identyfikują wzorce ataków, takie jak ataki typu "odmowa usługi" lub robaki typu "zero-day".

Jeśli czujniki Esphiona wykryją coś, na przykład dużą ilość spamu, do kontrolera wysyłany jest alert, który może następnie automatycznie poddaj kwarantannie subskrybenta, powiedział Chadavasu.

Jeśli subskrybent przejdzie do trybu online, zostanie przekierowany na stronę, która powiadomi ich, że ich komputer może być zainfekowany. Prawdziwy Internet współpracuje z dostawcą zabezpieczeń Trend Micro w celu skanowania komputerów subskrybentów.

"Po wyczyszczeniu komputera … pozwolimy mu wrócić do" Sieci ", powiedział Chadavasu.

Prawdziwy Internet używany do tylko kwarantanna klienta po wykryciu dwóch złych incydentów, ale zmieniła zasady w sierpniu na kwarantannę po jednym incydencie, powiedział Chadavasu. Spam w sieci znacznie się zmniejszył, a bezpieczeństwo internetowe klientów uległo poprawie.

Blisko 70 procent komputerów, które zostały poddane kwarantannie raz lub dwa razy, nigdy nie są już poddawane kwarantannie, powiedział Chadavasu, co wskazuje na większą świadomość bezpieczeństwa wśród konsumentów.

"Uważamy, że jest to bardzo skuteczne" - powiedział Chadavasu.

NetCologne, dostawca usług internetowych i kablowych w Niemczech, podjął podobne podejście do automatyzacji tego, jak radzi sobie z abonentami zainfekowanymi złośliwym oprogramowaniem.

NetCologne również blokuje abonenci, którzy wydają się być zaangażowani w pewne nadużycia i dają im możliwość pobrania poprawek zabezpieczeń Microsoftu lub nawet zakupu oprogramowania zabezpieczającego, powiedział Dietmar Braun, inżynier systemowy i programista dla firmy. Gdy użytkownicy wyczyścili system i zastosowali poprawki, mogą automatycznie odblokować dostęp.

Aby zidentyfikować komputery, które mogą być zainfekowane złośliwym oprogramowaniem, NetCologne skonfigurował honeypot. Zainfekowane komputery często próbują atakować inne komputery w tej samej sieci, więc honeypot jest łatwym celem, który pozwala na identyfikację subskrybenta, powiedział Braun.

Procedura rozłączania jest obsługiwana przez aplikację NetCologne o nazwie PHREAK lub Program dla Honeypot Induced Reaction Ending in Automated Kill. Tworzy raport o nadużyciu lub bilet, a następnie przystępuje do rozłączenia użytkownika i skierowania go do oprogramowania zabezpieczającego.

To jest używane wspólnie z ANANAS, co oznacza automatyczny system powiadamiania o nadużyciach w sieci. ANANAS odpowie w większości przypadków na skargi na nadużycia od innych podmiotów, powiedział Braun. Zamyka pętlę z tymi podmiotami, które zauważyły ​​nadużycia pochodzące z sieci NetCologne.

"Nasze zarządzanie nadużyciami jest w stanie rozwiązać większość biletów w bardzo szybkim czasie," powiedział Braun.

Podsumowując, podejście NetCologne zostało tak udany, że firma zatrudnia tylko jedną osobę przez około 20 godzin tygodniowo, obsługując problemy z nadużyciami dla około 500 000 subskrybentów, powiedział Braun.