Bạn không thích FBI gõ cửa nhà bạn lúc 6 giờ sáng. Đáng ngạc nhiên, tội phạm mạng thông thường của bạn cũng vậy. Đó là lý do tại sao họ ẩn (ít nhất là những thứ tốt), ví dụ, đằng sau các lớp proxy, VPN hoặc nút TOR.
Địa chỉ IP của họ sẽ không bao giờ được tiếp xúc trực tiếp với máy của mục tiêu. Tội phạm mạng sẽ luôn sử dụng địa chỉ IP của bên thứ ba để thực hiện các cuộc tấn công của chúng.
Có vô số cách để thực hiện các cuộc tấn công mạng. Nhưng có một điều chung cho tất cả chúng. Sự cần thiết phải có một nhóm các địa chỉ IP để phục vụ như một phương tiện. Tội phạm cần địa chỉ IP để thực hiện các cuộc tấn công từ chối dịch vụ phân tán.
Tội phạm cần địa chỉ IP để ẩn đằng sau khi thăm dò các dịch vụ. Tội phạm cần địa chỉ IP để thực hiện các cuộc tấn công vũ phu. Tội phạm cần địa chỉ IP để chạy các mạng và dịch vụ bot. Nói tóm lại, bọn tội phạm cần duy trì địa chỉ IP dưới sự kiểm soát của chúng cho bất cứ điều gì. Đó là tài sản quan trọng nhất của họ và là đạn mà họ cần để thực hiện các cuộc tấn công.
Vậy làm cách nào để tội phạm mạng tiếp cận được những địa chỉ IP khét tiếng đó, và điều này khiến chúng phải trả giá bao nhiêu? Dưới đây là một số ví dụ.
“admin / quản trị viên”
Cướp máy móc và cụ thể hơn là mạng các thiết bị IoT. Nhóm thiết bị IoT được quản lý và bảo mật kém còn lại với thông tin xác thực truy cập mặc định và chương trình cơ sở lỗi thời là mục tiêu hoàn hảo cho điều đó. Cách dễ dàng để zombify một số lượng lớn thiết bị, phục vụ mới cho các cuộc tấn công DDoS… xin chào các camera an ninh “thông minh”… chúng tôi đang theo dõi bạn!
“VPS giá rẻ”
Sử dụng bất kỳ nhà cung cấp đám mây nào, kích hoạt một số phiên bản, cài đặt bot để quét và thử đưa vào Log4j. Với chi phí hạn chế, bạn có mạng bot của mình để quét các mục tiêu tìm lỗ hổng. Tất nhiên, một lúc nào đó, bạn sẽ bị gắn cờ hoặc nhà cung cấp có thể bắt được bạn. Nhưng bạn có thể sao chép cách tiếp cận của mình với các nhà cung cấp dịch vụ đám mây ở các quốc gia khác, có thể ít hơn về việc sử dụng các VPS đó…
‘Vào bóng tối”
Họ cũng có thể đến siêu thị dành cho tội phạm, hay còn gọi là. “dark web” và có được một mạng lưới các bot để thực hiện các cuộc tấn công như DDoS với giá vài trăm đô la. Script kiddies, chào mừng.
Hai cách tiếp cận sau:
Việc có được địa chỉ IP, mặc dù không phải là không thể, nhưng tốn kém tiền bạc, thời gian và tài nguyên. Giả mạo điều đó, bạn giả mạo khả năng của tội phạm để thực hiện công việc của mình một cách hiệu quả. Cấm các IP đã biết được sử dụng bởi tội phạm và bạn có thể chỉ cần tăng cường bảo mật cho các tài sản trực tuyến của mình.
Các bot đó và các hoạt động tự động hóa quét tạo ra rất nhiều tiếng ồn trên nền internet. Hãy tưởng tượng tất cả vô số botnet quét không gian IP cho các mục đích bất chính khác nhau. Điều này được các nhà phân tích SOC gọi là “cảnh báo mệt mỏi”, có nghĩa là, điều này tạo ra một lượng lớn dữ liệu, không có nhiều giá trị gia tăng, nhưng các nhà phân tích vẫn cần phải tính đến.
Nhưng tin tốt cho tất cả mọi người, có những giải pháp để làm cho cuộc sống khó khăn hơn cho tội phạm mạng.
Danh tiếng IP là một phần của giải pháp. Giả sử người dùng có thể đánh giá một cách phòng ngừa rủi ro của một IP kết nối với một dịch vụ. Trong trường hợp đó, nó có thể khóa những người dùng độc hại đã biết và đảm bảo rằng những IP đó không thể làm tổn thương bất kỳ ai nữa, trên thực tế, nó sẽ lấy đi những địa chỉ IP mà bọn tội phạm đã dành thời gian và tiền bạc để xây dựng.
Tại CrowdSec, chúng tôi đã thực hiện một thử nghiệm thú vị: chúng tôi thiết lập hai VPS giống hệt nhau trên một nhà cung cấp đám mây nổi tiếng, với hai dịch vụ đơn giản, SSH và Nginx. Không có gì lạ mắt, giống như hàng triệu máy móc ngoài kia trong tự nhiên. CrowdSec đã được cài đặt trên cả hai để phát hiện các nỗ lực xâm nhập. Tuy nhiên, một máy có tác nhân khắc phục (IPS), nhận thông tin danh tiếng IP từ cộng đồng CrowdSec (1 triệu tín hiệu được chia sẻ hàng ngày) và ngăn chặn các IP bị gắn cờ.
Kết quả là khá tuyệt vời.
Nhờ danh sách chặn cộng đồng, máy có IPS đã ngăn chặn được 92% các cuộc tấn công so với máy không có IPS. Đó là một sự gia tăng đáng chú ý về mức độ bảo mật.
Bạn có thể đọc thêm về phương pháp và kết quả chi tiết tại: https://crowdsec.net/
Nguồn: crowdsec.net
Danh sách chặn IP của cộng đồng – với lần quản lý trước – giải quyết cả hai thách thức.
Nó làm tê liệt bọn tội phạm bằng cách vô hiệu hóa nhóm địa chỉ IP của chúng. Họ đã dành thời gian, tiền bạc, nguồn lực để xây dựng chúng và chúng tôi, với tư cách là một cộng đồng, chỉ cần lấy chúng đi trong nháy mắt. Lấy cặn bã đó!
Nhưng nó cũng làm cho cuộc sống của các nhà phân tích và chuyên gia an ninh mạng dễ dàng hơn nhiều. Bằng cách ngăn chặn một cách ngăn chặn các IP bất chính đó, tiếng ồn xung quanh được giảm thiểu đáng kể. Chúng tôi đang nói về việc giảm 90% các cảnh báo cần được phân tích bởi những người thuộc SOC. Đó là nhiều thời gian hơn để tập trung vào các cảnh báo và chủ đề quan trọng hơn. Báo mệt mỏi? – tạm biệt.
Nếu bạn muốn tham gia vào cộng đồng danh tiếng IP lớn nhất và săn tìm các địa chỉ IP bất chính trong khi bảo vệ hiệu quả tài sản trực tuyến của mình, hãy tham gia với chúng tôi tại crowdsec.net
.
