如何检测僵尸网络感染IOT设备

实施标准网络安全实践

组织必须将建立的网络安全最佳实践扩展到其IOT环境，包括路由器，端点设备和网络设备。首席信息安全官员（CISOS）应确保所有设备都能够更新和修补;可用时应用这些更新和修补程序;并且部署了防病毒，入侵检测和其他安全工具。

格雷戈里J.Touhill.

Cisos也可以实施细分为了帮助防止成功的恶意软件对IOT设备的攻击，Carnegie Mellon University Heinz信息系统Heinz学院的兼职教师兼议员。他也是一支退休的美国空军推导军，之前被选为美国的第一个联邦Ciso。Cisos可以创建围绕段包裹的软件定义的参数，然后建立严格的身份验证要求，以限制可以访问物联网设备的内容。例如，CISOS可能会限制对IOT设备的访问，仅在特定IP地址上仅在公司网络中的系统中，并阻止除通信之外的一切外面。

克里斯托弗Mcelroy

寻找可疑的通信和代码

妥协的设备这是僵尸网络的一部分返回到命令和控制点 - 通常在第一次受到损害时发起该通信。Instomiced设备也可能发送其他通信。Christopher McElroy（Management Consulting Class Switchtide的高级顾问表示，Cisos应监测出现传出数据包并注意到与可疑的传入活动保持关注。

陈说，安全专家还可以解剖和审查恶意软件代码来查找签名。

“对反向工程师的分解器和拆卸器编译代码可能有助于识别僵尸网络可能的程序代码和执行命令的根源，”他说。

然而，这种方法可能超出了许多Cisos和安全团队可以在自己的资源和步骤中掌握他们的资源来处理的，以便对恶意软件进行混淆。

“僵尸网络作家和创作者正在通过使用集成加密技术阻止调查人员[从]追随他们的曲目，这使得反向过程更加困难，”陈说。

鉴于IOT妥协可以拥有的潜在的大规模影响，利用网络甚至互联网是绝对明智的，作为预防，监测和检测策略的一部分。

由于僵尸网络检测需要可见于恶意服务器和部署机器人之间的通信的可见性，因此检测僵尸网络的另一种方法是跟踪和分析使用的攻击。

“一些公布的标准安全解决方案可以提供像僵尸网络攻击的起源一样的可见性，”陈说。“在僵尸网络的剥削期间，有脚印的迹象。相同的IP地址可以在使用相同的有效载荷和类似的攻击模式时连接到同一站点。Web服务上的僵尸网络分布式拒绝服务攻击尝试一个典型的情景。“

他说，检测僵尸网络的另一种方法是使用现有的安全参考解决方案并从传统的漏洞扫描仪获取最新信息。这些步骤帮助组织不断学习和辨别普通的交通流量恶意，僵尸网络驱动的流量。

如果可能，请删除受损设备

如果CISCERU，CEDYMRU，COUD CEMRU，互联网安全和威胁情报公司的客户成功的同事表示，如果CISO嫌疑人遭到受损的物联网设备，请先确定删除设备的影响。这就是为什么Cisos需要充分了解和可见性进入其IOT生态系统的知识。

“在IOT的情况下，它有时可能会产生重大影响，就像没有运送的权力或水泵不工作的基础设施一样，”他说。“鉴于IOT妥协可能具有潜在的大规模影响，它是绝对明智的，以利用网络，甚至是互联网，作为预防，监控和检测策略的一部分。使用像本地网络上的特定[虚拟LAN]等特定的东西在寄宿手机和外部智能和监测服务的限制性访问政策都是明智的，并必须确保充分的安全性。“