Vous n’aimez pas que le FBI frappe à votre porte à 6 heures du matin. Étonnamment, votre cybercriminel habituel non plus. C’est pourquoi ils se cachent (du moins les bons), par exemple, derrière des couches de proxys, de VPN ou de nœuds TOR.

Leur adresse IP ne sera jamais exposée directement à la machine de la cible. Les cybercriminels utiliseront toujours des adresses IP tierces pour lancer leurs attaques.

Il existe d’innombrables façons de lancer des cyberattaques. Mais une chose est commune à tous. Le besoin d’un pool d’adresses IP pour servir de support. Les criminels ont besoin d’adresses IP pour lancer des attaques par déni de service distribuées.

Les criminels ont besoin d’adresses IP derrière lesquelles se cacher lorsqu’ils sondent des services. Les criminels ont besoin d’adresses IP pour tenter des attaques par force brute. Les criminels ont besoin d’adresses IP pour exécuter des réseaux et des services de robots. En un mot, les criminels doivent maintenir les adresses IP sous leur contrôle pour à peu près n’importe quoi. C’est leur atout le plus important et les munitions dont ils ont besoin pour lancer des attaques.

Alors, comment les cybercriminels mettent-ils la main sur ces adresses IP infâmes, et qu’est-ce que cela leur coûte ? Voici quelques exemples.

« admin/admin »
Détourner des machines et plus précisément des réseaux d’appareils IoT. Les flottes d’appareils IoT mal sécurisées et mal gérées avec des informations d’identification d’accès par défaut et des micrologiciels obsolètes sont la cible idéale pour cela. Un moyen facile de zombifier un grand nombre d’appareils, fraîchement servis pour les attaques DDoS… hé les caméras de sécurité « intelligentes »… nous vous surveillons !

« Les VPS ne sont pas chers »
Prenez n’importe quel fournisseur de cloud, lancez certaines instances, installez des bots pour analyser et tenter des injections Log4j. À un coût limité, vous disposez de votre réseau de robots pour analyser les cibles à la recherche de vulnérabilités. Bien sûr, à un moment donné, vous serez signalé ou le fournisseur pourrait vous attraper. Mais vous pouvez répliquer votre approche avec des fournisseurs de cloud dans d’autres pays, peut-être moins en ce qui concerne l’utilisation de ces VPS…

‘Dans l’obscurité »
Ils peuvent aussi aller au supermarché pour les criminels, alias. « dark web » et acquérir un réseau de bots pour lancer des attaques comme DDoS pour quelques centaines de dollars. Enfants de script, bienvenue.

Deux enseignements de ces approches :
L’acquisition d’adresses IP, bien que pas impossible, coûte de l’argent, du temps et des ressources. Altérez cela, vous altérez la capacité d’un criminel à faire son travail efficacement. Interdisez les adresses IP connues utilisées par les criminels et vous pourriez simplement augmenter considérablement la sécurité de vos actifs en ligne.

Ces robots et ces activités d’automatisation du scan génèrent beaucoup de bruit de fond sur Internet. Imaginez tous ces innombrables botnets scannant l’espace IP à différentes fins néfastes. Ceci est bien connu par les analystes du SOC sous le nom de « fatigue d’alerte », c’est-à-dire que cela génère une grande quantité de données, sans grande valeur ajoutée, mais que les analystes doivent tout de même prendre en compte.

Mais bonne nouvelle à tous, il existe des solutions pour compliquer la vie des cybercriminels.

La réputation IP fait partie de la solution. Supposons que les utilisateurs puissent évaluer de manière préventive le risque qu’une IP se connecte à un service. Dans ce cas, il peut verrouiller les utilisateurs malveillants connus et s’assurer que ces adresses IP ne peuvent plus blesser personne, supprimant de facto le pool d’adresses IP que les criminels ont consacré du temps et de l’argent à construire.

Chez CrowdSec, nous nous sommes amusés à expérimenter : nous avons mis en place deux VPS identiques sur un fournisseur de cloud bien connu, avec deux services simples, SSH et Nginx. Rien d’extraordinaire, tout comme des millions de machines dans la nature. CrowdSec a été installé sur les deux pour détecter les tentatives d’intrusion. Pourtant, une machine avait l’agent de remédiation (IPS), recevant des informations de réputation IP de la communauté CrowdSec (1 million de signaux partagés quotidiennement) et interdisant de manière préventive les IP signalées.

Le résultat était assez bluffant.

Grâce à la liste de blocage communautaire, la machine avec l’IPS a bloqué préventivement 92% des attaques par rapport à la machine sans l’IPS. C’est une augmentation notable du niveau de sécurité.

Les listes de blocage IP communautaires – avec la curation précédente – prennent en charge les deux défis.

Il paralyse les criminels en annulant leur pool d’adresses IP. Ils ont dépensé du temps, de l’argent, des ressources pour les construire, et nous, en tant que communauté, les emportons simplement en un clin d’œil. Prends cette racaille !

Mais cela facilite également la vie des analystes et des experts en cybersécurité. En bloquant de manière préventive ces adresses IP néfastes, le bruit de fond est considérablement réduit. Nous parlons de réduire de 90 % les alertes qui doivent être analysées par les personnes du SOC. C’est beaucoup plus de temps pour se concentrer sur des alertes et des sujets plus importants. Alerte fatigue ? – Bye Bye.

Si vous souhaitez participer à la plus grande communauté de réputation IP et chasser les adresses IP néfastes tout en protégeant efficacement vos actifs en ligne, rejoignez-nous

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *