Vous n’aimez pas que le FBI frappe \u00e0 votre porte \u00e0 6 heures du matin. \u00c9tonnamment, votre cybercriminel habituel non plus. C’est pourquoi ils se cachent (du moins les bons), par exemple, derri\u00e8re des couches de proxys, de VPN ou de n\u0153uds TOR.<\/p>\n
Leur adresse IP ne sera jamais expos\u00e9e directement \u00e0 la machine de la cible. Les cybercriminels utiliseront toujours des adresses IP tierces pour lancer leurs attaques.<\/p>\n
Il existe d’innombrables fa\u00e7ons de lancer des cyberattaques. Mais une chose est commune \u00e0 tous. Le besoin d’un pool d’adresses IP pour servir de support. Les criminels ont besoin d’adresses IP pour lancer des attaques par d\u00e9ni de service distribu\u00e9es.<\/p>\n
Les criminels ont besoin d’adresses IP derri\u00e8re lesquelles se cacher lorsqu’ils sondent des services. Les criminels ont besoin d’adresses IP pour tenter des attaques par force brute. Les criminels ont besoin d’adresses IP pour ex\u00e9cuter des r\u00e9seaux et des services de robots. En un mot, les criminels doivent maintenir les adresses IP sous leur contr\u00f4le pour \u00e0 peu pr\u00e8s n’importe quoi. C’est leur atout le plus important et les munitions dont ils ont besoin pour lancer des attaques.<\/p>\n
Alors, comment les cybercriminels mettent-ils la main sur ces adresses IP inf\u00e2mes, et qu’est-ce que cela leur co\u00fbte ? Voici quelques exemples.<\/p>\n
“admin\/admin”<\/h4>\n
D\u00e9tourner des machines et plus pr\u00e9cis\u00e9ment des r\u00e9seaux d’appareils IoT. Les flottes d’appareils IoT mal s\u00e9curis\u00e9es et mal g\u00e9r\u00e9es avec des informations d’identification d’acc\u00e8s par d\u00e9faut et des micrologiciels obsol\u00e8tes sont la cible id\u00e9ale pour cela. Un moyen facile de zombifier un grand nombre d’appareils, fra\u00eechement servis pour les attaques DDoS\u2026 h\u00e9 les cam\u00e9ras de s\u00e9curit\u00e9 “intelligentes”\u2026 nous vous surveillons\u00a0!<\/p>\n
“Les VPS ne sont pas chers”<\/h4>\n
Prenez n’importe quel fournisseur de cloud, lancez certaines instances, installez des bots pour analyser et tenter des injections Log4j. \u00c0 un co\u00fbt limit\u00e9, vous disposez de votre r\u00e9seau de robots pour analyser les cibles \u00e0 la recherche de vuln\u00e9rabilit\u00e9s. Bien s\u00fbr, \u00e0 un moment donn\u00e9, vous serez signal\u00e9 ou le fournisseur pourrait vous attraper. Mais vous pouvez r\u00e9pliquer votre approche avec des fournisseurs de cloud dans d’autres pays, peut-\u00eatre moins en ce qui concerne l’utilisation de ces VPS\u2026<\/p>\n
‘Dans l’obscurit\u00e9”<\/h4>\n
Ils peuvent aussi aller au supermarch\u00e9 pour les criminels, alias. “dark web” et acqu\u00e9rir un r\u00e9seau de bots pour lancer des attaques comme DDoS pour quelques centaines de dollars. Enfants de script, bienvenue.<\/p>\n
Deux enseignements de ces approches : <\/strong><\/h2>\nL’acquisition d’adresses IP, bien que pas impossible, co\u00fbte de l’argent, du temps et des ressources. Alt\u00e9rez cela, vous alt\u00e9rez la capacit\u00e9 d’un criminel \u00e0 faire son travail efficacement. Interdisez les adresses IP connues utilis\u00e9es par les criminels et vous pourriez simplement augmenter consid\u00e9rablement la s\u00e9curit\u00e9 de vos actifs en ligne.<\/p>\n
Ces robots et ces activit\u00e9s d’automatisation du scan g\u00e9n\u00e8rent beaucoup de bruit de fond sur Internet. Imaginez tous ces innombrables botnets scannant l’espace IP \u00e0 diff\u00e9rentes fins n\u00e9fastes. Ceci est bien connu par les analystes du SOC sous le nom de “fatigue d’alerte”, c’est-\u00e0-dire que cela g\u00e9n\u00e8re une grande quantit\u00e9 de donn\u00e9es, sans grande valeur ajout\u00e9e, mais que les analystes doivent tout de m\u00eame prendre en compte.<\/p>\n
Mais bonne nouvelle \u00e0 tous, il existe des solutions pour compliquer la vie des cybercriminels. <\/p>\n
La r\u00e9putation IP fait partie de la solution. Supposons que les utilisateurs puissent \u00e9valuer de mani\u00e8re pr\u00e9ventive le risque qu’une IP se connecte \u00e0 un service. Dans ce cas, il peut verrouiller les utilisateurs malveillants connus et s’assurer que ces adresses IP ne peuvent plus blesser personne, supprimant de facto le pool d’adresses IP que les criminels ont consacr\u00e9 du temps et de l’argent \u00e0 construire.<\/p>\n
Chez CrowdSec, nous nous sommes amus\u00e9s \u00e0 exp\u00e9rimenter : nous avons mis en place deux VPS identiques sur un fournisseur de cloud bien connu, avec deux services simples, SSH et Nginx. Rien d’extraordinaire, tout comme des millions de machines dans la nature. CrowdSec a \u00e9t\u00e9 install\u00e9 sur les deux pour d\u00e9tecter les tentatives d’intrusion. Pourtant, une machine avait l’agent de rem\u00e9diation (IPS), recevant des informations de r\u00e9putation IP de la communaut\u00e9 CrowdSec (1 million de signaux partag\u00e9s quotidiennement) et interdisant de mani\u00e8re pr\u00e9ventive les IP signal\u00e9es.<\/p>\n
Le r\u00e9sultat \u00e9tait assez bluffant.<\/p>\n
Gr\u00e2ce \u00e0 la liste de blocage communautaire, la machine avec l’IPS a bloqu\u00e9 pr\u00e9ventivement 92% des attaques par rapport \u00e0 la machine sans l’IPS. C’est une augmentation notable du niveau de s\u00e9curit\u00e9.<\/p>\n
Vous pouvez en savoir plus sur la m\u00e9thodologie et les r\u00e9sultats d\u00e9taill\u00e9s sur : https:\/\/crowdsec.net\/<\/a><\/p>\n
\n\n\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648470114_353_Des-cybercriminels-et-des-adresses-IP.jpg\")
<\/td>\n<\/tr>\n \nSource : crowdsec.net<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\nLes listes de blocage IP communautaires – avec la curation pr\u00e9c\u00e9dente – prennent en charge les deux d\u00e9fis. <\/p>\n
Il paralyse les criminels en annulant leur pool d’adresses IP. Ils ont d\u00e9pens\u00e9 du temps, de l’argent, des ressources pour les construire, et nous, en tant que communaut\u00e9, les emportons simplement en un clin d’\u0153il. Prends cette racaille !<\/p>\n
Mais cela facilite \u00e9galement la vie des analystes et des experts en cybers\u00e9curit\u00e9. En bloquant de mani\u00e8re pr\u00e9ventive ces adresses IP n\u00e9fastes, le bruit de fond est consid\u00e9rablement r\u00e9duit. Nous parlons de r\u00e9duire de 90\u00a0% les alertes qui doivent \u00eatre analys\u00e9es par les personnes du SOC. C’est beaucoup plus de temps pour se concentrer sur des alertes et des sujets plus importants. Alerte fatigue ? – Bye Bye.<\/p>\n
Si vous souhaitez participer \u00e0 la plus grande communaut\u00e9 de r\u00e9putation IP et chasser les adresses IP n\u00e9fastes tout en prot\u00e9geant efficacement vos actifs en ligne, rejoignez-nous sur crowdsec.net<\/p>\n
<\/p>\n<\/div>\n
<\/td>\n<\/tr>\nLes listes de blocage IP communautaires – avec la curation pr\u00e9c\u00e9dente – prennent en charge les deux d\u00e9fis. <\/p>\n
Il paralyse les criminels en annulant leur pool d’adresses IP. Ils ont d\u00e9pens\u00e9 du temps, de l’argent, des ressources pour les construire, et nous, en tant que communaut\u00e9, les emportons simplement en un clin d’\u0153il. Prends cette racaille !<\/p>\n
Mais cela facilite \u00e9galement la vie des analystes et des experts en cybers\u00e9curit\u00e9. En bloquant de mani\u00e8re pr\u00e9ventive ces adresses IP n\u00e9fastes, le bruit de fond est consid\u00e9rablement r\u00e9duit. Nous parlons de r\u00e9duire de 90\u00a0% les alertes qui doivent \u00eatre analys\u00e9es par les personnes du SOC. C’est beaucoup plus de temps pour se concentrer sur des alertes et des sujets plus importants. Alerte fatigue ? – Bye Bye.<\/p>\n
Si vous souhaitez participer \u00e0 la plus grande communaut\u00e9 de r\u00e9putation IP et chasser les adresses IP n\u00e9fastes tout en prot\u00e9geant efficacement vos actifs en ligne, rejoignez-nous sur crowdsec.net<\/p>\n
<\/p>\n<\/div>\n