31/03/22
Опытные киберпреступники стараются скрыть свое местоположения за несколькими уровнями прокси, VPN или TOR-узлов. Их IP-адрес никогда не будет напрямую виден компьютерной системе. Кроме того, для проведения атак хакеры всегда будут использовать сторонние IP-адреса.
Существует бесчисленное множество способов проведения кибератак. Но один является общим для всех — необходимость в пуле IP-адресов для использования в качестве среды. Преступникам нужны IP-адреса для проведения распределенных атак типа «отказ в обслуживании», ухода от обнаружения, проведения брутфорс-атак, запуска ботнетов и пр. IP-адреса — самый важный актив злоумышленников.
Киберпреступники получают доступ к IP-адресам различными способами. Плохо защищенные и управляемые группы IoT-устройств, оставленные с учетными данными по умолчанию и устаревшей прошивкой, являются идеальной мишенью для целей хакеров. Также преступники могут отправиться в даркнет и приобрести сеть ботов для проведения атак-DDoS за пару сотен долларов.
Получение IP-адресов требует денег, времени и ресурсов. Вмешавшись в данный процесс, можно нарушить способность преступника эффективно осуществлять свою преступную деятельность. Заблокировав известные IP-адреса, используемые преступниками, можно значительно повысить безопасность своих online-активов.
Специалисты компании CrowdSec провели эксперимент. Они настроили два одинаковых виртуальных выделенных сервера (VPS) на известном облачном провайдере с двумя простыми сервисами — SSH и Nginx. На обеих системах был установлен CrowdSec для обнаружения попыток взлома. Кроме того, на одном устройстве был установлен агент исправления (IPS), который получал информацию о репутации IP-адресов от сообщества CrowdSec и превентивно блокировал помеченные IP-адреса. Результат был крайне впечатляющим.
Благодаря «черному списку» устройство с IPS предотвратило 92% атак по сравнению с системой без IPS. Это заметное повышение уровня кибербезопасности.
«Черные списки» IP-адресов не только наносят вред преступникам, сводя на нет их пул IP-адресов. Ведь они потратили время, деньги, ресурсы на их создание, а подобный подход просто отбирает у них ценные ресурсы.
Списки также значительно облегчают жизнь аналитикам и ИБ-экспертам. Благодаря превентивной блокировке хакерских IP-адресов «фоновый шум» значительно снижается. Речь идет о сокращении на 90% предупреждений, которые необходимо анализировать сотрудникам SOC. Это позволяет сосредоточиться на более важных предупреждениях и темах.
