No le gusta que el FBI llame a su puerta a las 6 de la ma\u00f1ana. Sorprendentemente, tu ciberdelincuente habitual tampoco. Por eso se esconden (al menos los buenos), por ejemplo, detr\u00e1s de capas de proxies, VPN o nodos TOR.<\/p>\n
Su direcci\u00f3n IP nunca ser\u00e1 expuesta directamente a la m\u00e1quina del objetivo. Los ciberdelincuentes siempre utilizar\u00e1n direcciones IP de terceros para lanzar sus ataques.<\/p>\n
Hay innumerables formas de lanzar ataques cibern\u00e9ticos. Pero una cosa es com\u00fan a todos ellos. La necesidad de un conjunto de direcciones IP para servir como medio. Los delincuentes necesitan direcciones IP para realizar ataques de denegaci\u00f3n de servicio distribuidos.<\/p>\n
Los delincuentes necesitan direcciones IP para esconderse cuando buscan servicios. Los delincuentes necesitan direcciones IP para intentar ataques de fuerza bruta. Los delincuentes necesitan direcciones IP para ejecutar redes y servicios de bots. En pocas palabras, los delincuentes necesitan mantener las direcciones IP bajo su control para pr\u00e1cticamente cualquier cosa. Es su activo m\u00e1s importante y es la munici\u00f3n que necesitan para lanzar ataques.<\/p>\n
Entonces, \u00bfc\u00f3mo consiguen los ciberdelincuentes esas infames direcciones IP y cu\u00e1nto les cuesta esto? Aqu\u00ed hay unos ejemplos.<\/p>\n
“administrador\/administrador”<\/h4>\n
Secuestro de m\u00e1quinas y m\u00e1s concretamente redes de dispositivos IoT. Las flotas de dispositivos IoT mal protegidas y administradas que se quedan con credenciales de acceso predeterminadas y firmware desactualizado son el objetivo perfecto para eso. Manera f\u00e1cil de zombificar una gran cantidad de dispositivos, reci\u00e9n servidos para ataques DDoS… oye, c\u00e1maras de seguridad “inteligentes”… \u00a1te estamos observando!<\/p>\n
“Los VPS son baratos”<\/h4>\n
Tome cualquier proveedor de nube, inicie algunas instancias, instale bots para escanear e intente inyecciones de Log4j. A un costo limitado, tiene su red de bots para escanear objetivos en busca de vulnerabilidades. Por supuesto, en alg\u00fan momento, lo marcar\u00e1n o el proveedor podr\u00eda atraparlo. Pero puede replicar su enfoque con proveedores de la nube en otros pa\u00edses, tal vez menos con respecto al uso de esos VPS…<\/p>\n
‘En la oscuridad”<\/h4>\n
Tambi\u00e9n pueden ir al supermercado para delincuentes, alias. “web oscura” y adquiera una red de bots para lanzar ataques como DDoS por un par de cientos de d\u00f3lares. Ni\u00f1os del gui\u00f3n, bienvenidos.<\/p>\n
Dos conclusiones de estos enfoques: <\/strong><\/h2>\nAdquirir direcciones IP, aunque no es imposible, cuesta dinero, tiempo y recursos. Manipule eso, manipular\u00e1 la capacidad de un criminal para hacer su trabajo de manera eficiente. Prohibir las direcciones IP conocidas utilizadas por los delincuentes y podr\u00eda aumentar dr\u00e1sticamente la seguridad de sus activos en l\u00ednea.<\/p>\n
Esos bots y las actividades de automatizaci\u00f3n de escaneo generan mucho ruido de fondo en Internet. Imagine todas esas innumerables botnets escaneando el espacio de IP para diferentes prop\u00f3sitos nefastos. Esto es bien conocido por los analistas del SOC como “fatiga de alerta”, es decir, genera una gran cantidad de datos, sin mucho valor agregado, pero que los analistas a\u00fan deben tener en cuenta.<\/p>\n
Pero buenas noticias para todos, existen soluciones para hacerles la vida m\u00e1s dif\u00edcil a los ciberdelincuentes. <\/p>\n
La reputaci\u00f3n de IP es parte de la soluci\u00f3n. Supongamos que los usuarios pueden evaluar preventivamente el riesgo de que una IP se conecte a un servicio. En ese caso, puede bloquear a los usuarios maliciosos conocidos y asegurarse de que esas direcciones IP ya no puedan da\u00f1ar a nadie, eliminando de facto el conjunto de direcciones IP que los delincuentes gastaron tiempo y dinero en construir.<\/p>\n
En CrowdSec, nos divertimos experimentando: configuramos dos VPS id\u00e9nticos en un conocido proveedor de nube, con dos servicios simples, SSH y Nginx. Nada lujoso, como millones de m\u00e1quinas en la naturaleza. CrowdSec se instal\u00f3 en ambos para detectar intentos de intrusi\u00f3n. A\u00fan as\u00ed, una m\u00e1quina ten\u00eda el agente de remediaci\u00f3n (IPS), recibiendo informaci\u00f3n de reputaci\u00f3n de IP de la comunidad CrowdSec (1 mill\u00f3n de se\u00f1ales diarias compartidas) y prohibiendo de manera preventiva las IP marcadas.<\/p>\n
El resultado fue bastante impresionante.<\/p>\n
Gracias a la lista de bloqueo de la comunidad, la m\u00e1quina con IPS bloque\u00f3 preventivamente el 92% de los ataques en comparaci\u00f3n con la m\u00e1quina sin IPS. Eso es un aumento notable en el nivel de seguridad.<\/p>\n
Puede leer m\u00e1s sobre la metodolog\u00eda y los resultados detallados en: https:\/\/crowdsec.net\/<\/a><\/p>\n
\n\n\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1648482263_314_De-Ciberdelincuentes-y-Direcciones-IP.jpg\")
<\/td>\n<\/tr>\n \nFuente: crowdsec.net<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nLas listas de bloqueo de IP de la comunidad, con la curaci\u00f3n previa, se encargan de ambos desaf\u00edos. <\/p>\n
Paraliza a los delincuentes al anular su grupo de direcciones IP. Invirtieron tiempo, dinero y recursos para construirlos, y nosotros, como comunidad, simplemente los quitamos en un abrir y cerrar de ojos. \u00a1Toma esa escoria!<\/p>\n
Pero tambi\u00e9n facilita mucho la vida de analistas y expertos en ciberseguridad. Al bloquear de manera preventiva esas IP nefastas, el ruido de fondo se reduce significativamente. Estamos hablando de reducir en un 90% las alertas que necesitan ser analizadas por la gente del SOC. Eso es mucho m\u00e1s tiempo para concentrarse en alertas y temas m\u00e1s importantes. Alerta de fatiga? – adi\u00f3s.<\/p>\n
Si desea participar en la mayor comunidad de reputaci\u00f3n de IP y buscar direcciones IP maliciosas mientras protege de manera efectiva sus activos en l\u00ednea, \u00fanase a nosotros en crowdsec.net<\/p>\n
<\/p>\n<\/div>\n
<\/td>\n<\/tr>\nLas listas de bloqueo de IP de la comunidad, con la curaci\u00f3n previa, se encargan de ambos desaf\u00edos. <\/p>\n
Paraliza a los delincuentes al anular su grupo de direcciones IP. Invirtieron tiempo, dinero y recursos para construirlos, y nosotros, como comunidad, simplemente los quitamos en un abrir y cerrar de ojos. \u00a1Toma esa escoria!<\/p>\n
Pero tambi\u00e9n facilita mucho la vida de analistas y expertos en ciberseguridad. Al bloquear de manera preventiva esas IP nefastas, el ruido de fondo se reduce significativamente. Estamos hablando de reducir en un 90% las alertas que necesitan ser analizadas por la gente del SOC. Eso es mucho m\u00e1s tiempo para concentrarse en alertas y temas m\u00e1s importantes. Alerta de fatiga? – adi\u00f3s.<\/p>\n
Si desea participar en la mayor comunidad de reputaci\u00f3n de IP y buscar direcciones IP maliciosas mientras protege de manera efectiva sus activos en l\u00ednea, \u00fanase a nosotros en crowdsec.net<\/p>\n
<\/p>\n<\/div>\n