Sabahın 6’sında FBI’ın kapınızı çalmasından hoşlanmıyorsunuz. Şaşırtıcı bir şekilde, her zamanki siber suçlunuz da değil. Bu nedenle (en azından iyi olanları), örneğin proxy katmanlarının, VPN’lerin veya TOR düğümlerinin arkasına saklanırlar.
IP adresleri asla doğrudan hedefin makinesine gösterilmez. Siber suçlular, saldırılarını gerçekleştirmek için her zaman üçüncü taraf IP adreslerini kullanır.
Siber saldırıları gerçekleştirmenin sayısız yolu vardır. Ama hepsinde ortak olan bir şey var. Bir ortam olarak hizmet etmek için bir IP adresi havuzuna duyulan ihtiyaç. Suçlular, dağıtılmış hizmet reddi saldırıları gerçekleştirmek için IP adreslerine ihtiyaç duyar.
Suçlular, hizmetleri araştırırken arkasına saklanmak için IP adreslerine ihtiyaç duyar. Suçlular, kaba kuvvet saldırılarına teşebbüs etmek için IP adreslerine ihtiyaç duyar. Suçlular, bot ağlarını ve hizmetlerini çalıştırmak için IP adreslerine ihtiyaç duyar. Özetle, suçluların hemen hemen her şey için IP adreslerini kontrolleri altında tutmaları gerekir. Bu onların en önemli varlığıdır ve saldırı gerçekleştirmek için ihtiyaç duydukları cephanedir.
Peki siber suçlular bu kötü şöhretli IP adreslerini nasıl ele geçiriyor ve bunun onlara maliyeti nedir? İşte bazı örnekler.
“yönetici/yönetici”
Makineleri ve daha spesifik olarak IoT cihazlarının ağlarını ele geçirme. Varsayılan erişim kimlik bilgilerine ve güncel olmayan bellenime sahip, zayıf şekilde korunan ve yönetilen IoT cihazları filoları bunun için mükemmel bir hedeftir. DDoS saldırıları için yeni sunulan çok sayıda cihazı zombileştirmenin kolay yolu…hey “akıllı” güvenlik kameraları…sizi izliyoruz!
“VPS ucuzdur”
Herhangi bir bulut sağlayıcıyı alın, bazı örnekleri çalıştırın, Log4j enjeksiyonlarını taramak ve denemek için botlar kurun. Sınırlı bir maliyetle, güvenlik açıkları için hedefleri taramak için bot ağınız olur. Elbette, bir noktada işaretleneceksiniz veya sağlayıcı sizi yakalayabilir. Ancak yaklaşımınızı diğer ülkelerdeki bulut sağlayıcılarla, belki de bu VPS’lerin kullanımıyla ilgili olarak daha az çoğaltabilirsiniz…
‘Karanlığın içine”
Ayrıca suçlular için süpermarkete gidebilirler, nam. “dark web” ve birkaç yüz dolara DDoS gibi saldırılar yapmak için bir bot ağı edinin. Senaryo çocukları, hoş geldiniz.
Bu yaklaşımlardan iki çıkarım:
IP adreslerinin alınması imkansız olmasa da para, zaman ve kaynaklara mal olur. Bununla kurcalayın, bir suçlunun işini verimli bir şekilde yapma yeteneğini kurcalamış olursunuz. Suçlular tarafından kullanılan bilinen IP’leri yasaklayın ve çevrimiçi varlıklarınızın güvenliğini büyük ölçüde artırabilirsiniz.
Bu botlar ve tarama otomasyonu faaliyetleri çok fazla internet arka plan gürültüsü üretir. Tüm bu sayısız botnet’in IP alanını farklı hain amaçlarla taradığını hayal edin. Bu, SOC analistleri tarafından “uyarı yorgunluğu” olarak iyi bilinir, yani bu, fazla katma değer olmaksızın büyük miktarda veri üretir, ancak analistlerin yine de hesaba katması gerekir.
Ancak herkese iyi haber, siber suçlular için hayatı daha zor hale getirecek çözümler var.
IP itibarı çözümün bir parçasıdır. Kullanıcıların, bir IP’nin bir hizmete bağlanma riskini önleyici olarak değerlendirebileceğini varsayalım. Bu durumda, bilinen kötü niyetli kullanıcıları kilitleyebilir ve bu IP’lerin artık kimseye zarar vermeyeceğinden emin olabilir, fiili olarak IP adres havuzunu ortadan kaldırarak suçlular oluşturmak için zaman ve para harcadılar.
CrowdSec’te eğlenceli deneyler yaptık: SSH ve Nginx olmak üzere iki basit hizmetle iyi bilinen bir bulut sağlayıcısında iki özdeş VPS kurduk. Hiçbir şey fantezi değil, tıpkı vahşi doğada milyonlarca makine gibi. İzinsiz giriş denemelerini algılamak için her ikisine de CrowdSec kuruldu. Yine de, bir makinede iyileştirme aracısı (IPS) vardı, CrowdSec topluluğundan IP itibar bilgisi alıyor (günlük 1 milyon sinyal paylaşılıyor) ve işaretli IP’leri önleyici olarak yasaklıyordu.
Sonuç oldukça çarpıcıydı.
Topluluk engelleme listesi sayesinde, IPS’li makine, IPS’siz makineye kıyasla saldırıların %92’sini önleyici olarak engelledi. Bu, güvenlik seviyesinde kayda değer bir artış.
Metodoloji ve ayrıntılı sonuçlar hakkında daha fazla bilgiyi şu adreste bulabilirsiniz: https://crowdsec.net/
 |
| Kaynak: crowdsec.net |
Topluluk IP engelleme listeleri – önceki düzenlemeyle – her iki zorluğun da üstesinden gelir.
IP adres havuzlarını geçersiz kılarak suçluları sakatlar. Bunları inşa etmek için zaman, para ve kaynak harcadılar ve biz de toplum olarak onları göz açıp kapayıncaya kadar alıp götürüyoruz. O pisliği al!
Ancak aynı zamanda analistlerin ve siber güvenlik uzmanlarının hayatını da çok daha kolay hale getiriyor. Bu kötü niyetli IP’leri önleyici olarak engelleyerek, arka plan gürültüsü önemli ölçüde azaltılır. SOC çalışanları tarafından analiz edilmesi gereken uyarıları %90 oranında azaltmaktan bahsediyoruz. Bu, daha önemli uyarılara ve konulara odaklanmak için çok daha fazla zaman. Uyarı yorgunluğu? – güle güle.
En büyük IP itibar topluluğuna katılmak ve çevrimiçi varlıklarınızı etkili bir şekilde korurken kötü niyetli IP adreslerini avlamak istiyorsanız, crowdsec.net’te bize katılın.
