Penafian: Artikel ini dimaksudkan untuk memberikan wawasan tentang ancaman dunia maya seperti yang terlihat oleh komunitas pengguna CrowdSec.
Apa yang dapat diberitahukan oleh puluhan ribu mesin kepada kita tentang aktivitas peretas ilegal?
Apakah Anda ingat adegan di Batman – The Dark Knight, di mana Batman menggunakan sistem yang mengumpulkan data suara aktif dari ponsel yang tak terhitung jumlahnya untuk membuat umpan meta sonar tentang apa yang terjadi di tempat tertentu?
Ini adalah analogi yang menarik dengan apa yang kami lakukan di CrowdSec. Dengan menggabungkan sinyal intrusi dari komunitas kami, kami dapat menawarkan gambaran yang jelas tentang apa yang terjadi dalam hal peretasan ilegal di dunia.
Setelah 2 tahun aktivitas dan menganalisis 1 juta sinyal intrusi setiap hari dari puluhan ribu pengguna di 160 negara, kami mulai memiliki umpan global “Batman sonar” yang akurat tentang ancaman dunia maya. Dan ada beberapa takeaways menarik untuk diuraikan.
Ancaman dunia maya dengan banyak wajah
Pertama-tama, ancaman dunia maya global sangat beragam. Apa yang kita lihat saat melihat jenis serangan yang dilaporkan, asalnya, dan Sistem Otonom (AS) di balik alamat IP berbahaya?
Pemindai dan upaya Brute force masih merupakan vektor intrusi paling populer yang dilihat komunitas kami dan menempati peringkat #1. Cukup logis, karena pengawasan adalah langkah pertama menuju intrusi yang lebih maju. Aktivitas pemindaian yang dilihat oleh komunitas kami sebagian besar adalah pemindaian port atau pemeriksaan berbasis HTTP.
Di antara berbagai jenis intrusi yang digunakan oleh peretas, upaya paksa pada layanan sensitif (SSH, email, URL admin, dll.) adalah #2. Bukan informasi terobosan, tetapi ketika penelitian menunjukkan bahwa serangan brute force menyumbang 6% dari serangan dunia maya di dunia, tidak mengherankan untuk melihatnya sebagai yang dominan, terutama karena masih salah satu yang termudah dan termurah untuk diotomatisasi dan disebarkan. (halo anak-anak skrip). Karena cukup mudah untuk dilawan, orang akan berpikir itu jarang berhasil, tapi hei, 6%!
Log4J masih belum selesai
Di antara upaya eksploitasi paling populer yang dilihat komunitas kami, kami memiliki Log4j. Anda memang menikmati badai tahun lalu tentang bagaimana utilitas logging open-source sederhana untuk Apache dengan kerentanan mengambil alih dunia keamanan siber dan menyebabkan sakit kepala yang tak ada habisnya bagi para pakar keamanan siber. Dan, tentu saja, dunia kriminal dengan senang hati mengeksploitasinya dengan bot pemindaian otomatis yang mencari layanan yang rentan.
Nah, komunitas kita telah menyaksikan badai itu. Setelah puncak Desember setelah pengungkapan berlalu, segalanya menjadi sedikit tenang, tetapi aktivitas pemindaian untuk Log4j dimulai lagi, meskipun pada tingkat yang lebih rendah tetapi konstan, didorong oleh bot.
Pesan utamanya adalah jika Anda merasa terlindungi karena badai “pemasaran” telah berlalu, pikirkan dua kali.
Masih ada aktivitas yang sangat agresif yang ingin menggunakan kerentanan.
Misalnya, beberapa minggu yang lalu, spektrum besar komunitas kami dipindai karena alamat IP 13.89.48.118 dilaporkan oleh lebih dari 500 pengguna dalam waktu kurang dari 12 jam. Itu bergabung dengan 20000+ alamat IP lain di daftar blokir komunitas untuk perbaikan.
Alamat IP: sumber daya inti penjahat dunia maya
Alamat IP jarang jahat selamanya dan reputasinya dapat berubah dari satu hari ke hari lainnya. Dengan komunitas yang terus-menerus berbagi informasi tentang mereka, pembaruan apa pun dapat langsung ditransfer ke pengguna. Dalam jangka panjang, ini memberikan data yang sangat berharga tentang durasi agresivitas alamat IP.
Ini adalah cuplikan jumlah alamat IP yang masuk ke data lake CrowdSec (ditandai sebagai berbahaya). Yang menarik untuk dicatat adalah bahwa penjahat dunia maya memang mengubah IP yang mereka gunakan untuk melakukan serangan:
* hanya 2,79% dari ini adalah anggota tetap database kami
* 12,63% dari semua IP yang dikumpulkan berubah setiap minggu
* Tingkat pembaruan harian duduk di 1,8%
**Sistem otonom memiliki pendekatan berbeda untuk mengurangi IP yang disusupi**
Setiap IP adalah bagian dari kumpulan alamat yang dikelola oleh AS (Sistem Otonom). AS adalah jaringan luas atau kelompok jaringan yang memiliki kebijakan perutean terpadu. Setiap komputer atau perangkat yang terhubung ke Internet terhubung ke AS. Biasanya, setiap AS dioperasikan oleh satu organisasi besar, seperti penyedia layanan Internet (ISP), perusahaan teknologi besar, universitas, atau lembaga pemerintah, dan dengan demikian bertanggung jawab atas alamat IP.
Setiap IP agresif yang dibagikan oleh komunitas CrowdSec diperkaya oleh AS-nya. Ini, dikombinasikan dengan data tentang durasi agresivitas, dapat memberikan gambaran yang jelas tentang bagaimana AS mengelola IP yang disusupi.
Meskipun melihat hanya pada jumlah aset yang dikompromikan mungkin merupakan sudut pandang, itu tidak selalu adil. Tidak semua operator memiliki ukuran yang sama, dan beberapa menghosting layanan “lebih berisiko” (halo PHP CMS yang sudah ketinggalan zaman) daripada yang lain.
Durasi rata-rata jahat dari semua IP di AS yang sama menunjukkan uji tuntas operator dalam mengidentifikasi dan menangani aset yang disusupi. Distribusi durasi rata-rata ditunjukkan dengan panah yang menunjuk ke posisi AS yang paling banyak dilaporkan untuk penyedia cloud terkemuka. Misalnya, di AWS, alamat yang disusupi tetap disusupi selama rata-rata 3 hari. Azure 9 hari. Di akhir grafik, AS dari China atau Rusia (kejutan…) “kurang cepat” untuk bertindak atas IP yang dikompromikan.
Artikel ini dimaksudkan untuk memberikan gambaran umum tentang aktivitas ancaman dan kecerdasan yang dilihat pengguna CrowdSec setiap hari. Silakan berkonsultasi dengan versi lengkap laporan di sini jika Anda ingin lebih detail.