Bot-Netze: Infizierte Server mit Service von BT finden
BT ergänzt ihren Überwachungs-Service für Unternehmensnetze um ein Bot-Netz-Erkennungstool. Damit lassen sich infizierte Server identifizieren, die unter fremder Kontrolle sind.
Bot-Netze sind eines der Instrumente, um etwa Spam zu versenden oder Denial-of-Service-Attacken zu fahren. Kein Unternehmen möchte daher zum Wirt für einen Parasiten wie ein Bot-Netz werden beziehungsweise dieses möglichst schnell wieder loswerden. BT bietet nun einen Dienst an, um korrumpierte Server zu finden, die Teil eines solchen Netzes geworden sind. Dazu hat das Unternehmen in ihren weltweit verfügbaren »Event Monitoring and Correlation«-Service eine entsprechende Analyse-Funktion eingebaut. Außerdem will BT Unternehmen bei Eingrenzung und Behebung der Schäden helfen.
Um die Aktivitäten von Bot-Netzen zu erfassen, untersuchen die »Security Operations Center« von BT an den Firewalls den Datenverkehr. Die Bots, also die infizierten Systeme, müssen in jedem Fall mit einem Server zur Steuerung der Aktivitäten kommunizieren. Dies passiert zwar nicht sehr oft, aber es genügt, um typische Aktivitätsmuster zu erkennen. Dabei vergleicht BT die Aktivitäten der Netze verschiedener Kunden, was die Genauigkeit der Warnungen verbessert.
Hat BT etwas gefunden, informiert sie den Anwender, und stellt für ihn entsprechende Tagesprotokolle zusammen. Aus diesen ergibt sich auch ein historischer Ablauf. BT kann dabei auch Kunden übergreifende Trends erkennen.
