No le gusta que el FBI llame a su puerta a las 6 de la mañana. Sorprendentemente, tu ciberdelincuente habitual tampoco. Por eso se esconden (al menos los buenos), por ejemplo, detrás de capas de proxies, VPN o nodos TOR.
Su dirección IP nunca será expuesta directamente a la máquina del objetivo. Los ciberdelincuentes siempre utilizarán direcciones IP de terceros para lanzar sus ataques.
Hay innumerables formas de lanzar ataques cibernéticos. Pero una cosa es común a todos ellos. La necesidad de un conjunto de direcciones IP para servir como medio. Los delincuentes necesitan direcciones IP para realizar ataques de denegación de servicio distribuidos.
Los delincuentes necesitan direcciones IP para esconderse cuando buscan servicios. Los delincuentes necesitan direcciones IP para intentar ataques de fuerza bruta. Los delincuentes necesitan direcciones IP para ejecutar redes y servicios de bots. En pocas palabras, los delincuentes necesitan mantener las direcciones IP bajo su control para prácticamente cualquier cosa. Es su activo más importante y es la munición que necesitan para lanzar ataques.
Entonces, ¿cómo consiguen los ciberdelincuentes esas infames direcciones IP y cuánto les cuesta esto? Aquí hay unos ejemplos.
«administrador/administrador»
Secuestro de máquinas y más concretamente redes de dispositivos IoT. Las flotas de dispositivos IoT mal protegidas y administradas que se quedan con credenciales de acceso predeterminadas y firmware desactualizado son el objetivo perfecto para eso. Manera fácil de zombificar una gran cantidad de dispositivos, recién servidos para ataques DDoS… oye, cámaras de seguridad «inteligentes»… ¡te estamos observando!
«Los VPS son baratos»
Tome cualquier proveedor de nube, inicie algunas instancias, instale bots para escanear e intente inyecciones de Log4j. A un costo limitado, tiene su red de bots para escanear objetivos en busca de vulnerabilidades. Por supuesto, en algún momento, lo marcarán o el proveedor podría atraparlo. Pero puede replicar su enfoque con proveedores de la nube en otros países, tal vez menos con respecto al uso de esos VPS…
‘En la oscuridad»
También pueden ir al supermercado para delincuentes, alias. «web oscura» y adquiera una red de bots para lanzar ataques como DDoS por un par de cientos de dólares. Niños del guión, bienvenidos.
Dos conclusiones de estos enfoques:
Adquirir direcciones IP, aunque no es imposible, cuesta dinero, tiempo y recursos. Manipule eso, manipulará la capacidad de un criminal para hacer su trabajo de manera eficiente. Prohibir las direcciones IP conocidas utilizadas por los delincuentes y podría aumentar drásticamente la seguridad de sus activos en línea.
Esos bots y las actividades de automatización de escaneo generan mucho ruido de fondo en Internet. Imagine todas esas innumerables botnets escaneando el espacio de IP para diferentes propósitos nefastos. Esto es bien conocido por los analistas del SOC como «fatiga de alerta», es decir, genera una gran cantidad de datos, sin mucho valor agregado, pero que los analistas aún deben tener en cuenta.
Pero buenas noticias para todos, existen soluciones para hacerles la vida más difícil a los ciberdelincuentes.
La reputación de IP es parte de la solución. Supongamos que los usuarios pueden evaluar preventivamente el riesgo de que una IP se conecte a un servicio. En ese caso, puede bloquear a los usuarios maliciosos conocidos y asegurarse de que esas direcciones IP ya no puedan dañar a nadie, eliminando de facto el conjunto de direcciones IP que los delincuentes gastaron tiempo y dinero en construir.
En CrowdSec, nos divertimos experimentando: configuramos dos VPS idénticos en un conocido proveedor de nube, con dos servicios simples, SSH y Nginx. Nada lujoso, como millones de máquinas en la naturaleza. CrowdSec se instaló en ambos para detectar intentos de intrusión. Aún así, una máquina tenía el agente de remediación (IPS), recibiendo información de reputación de IP de la comunidad CrowdSec (1 millón de señales diarias compartidas) y prohibiendo de manera preventiva las IP marcadas.
El resultado fue bastante impresionante.
Gracias a la lista de bloqueo de la comunidad, la máquina con IPS bloqueó preventivamente el 92% de los ataques en comparación con la máquina sin IPS. Eso es un aumento notable en el nivel de seguridad.
Puede leer más sobre la metodología y los resultados detallados en: https://crowdsec.net/
 |
| Fuente: crowdsec.net |
Las listas de bloqueo de IP de la comunidad, con la curación previa, se encargan de ambos desafíos.
Paraliza a los delincuentes al anular su grupo de direcciones IP. Invirtieron tiempo, dinero y recursos para construirlos, y nosotros, como comunidad, simplemente los quitamos en un abrir y cerrar de ojos. ¡Toma esa escoria!
Pero también facilita mucho la vida de analistas y expertos en ciberseguridad. Al bloquear de manera preventiva esas IP nefastas, el ruido de fondo se reduce significativamente. Estamos hablando de reducir en un 90% las alertas que necesitan ser analizadas por la gente del SOC. Eso es mucho más tiempo para concentrarse en alertas y temas más importantes. Alerta de fatiga? – adiós.
Si desea participar en la mayor comunidad de reputación de IP y buscar direcciones IP maliciosas mientras protege de manera efectiva sus activos en línea, únase a nosotros en crowdsec.net