Apa yang Disaksikan oleh Puluhan Ribu Mesin

Collaborative Security

Penafian: Artikel ini dimaksudkan untuk memberikan wawasan tentang ancaman dunia maya seperti yang terlihat oleh komunitas pengguna CrowdSec.

Apa yang dapat diberitahukan oleh puluhan ribu mesin kepada kita tentang aktivitas peretas ilegal?

Apakah Anda ingat adegan di Batman – The Dark Knight, di mana Batman menggunakan sistem yang mengumpulkan data suara aktif dari ponsel yang tak terhitung jumlahnya untuk membuat umpan meta sonar tentang apa yang terjadi di tempat tertentu?

Ini adalah analogi yang menarik dengan apa yang kami lakukan di CrowdSec. Dengan menggabungkan sinyal intrusi dari komunitas kami, kami dapat menawarkan gambaran yang jelas tentang apa yang terjadi dalam hal peretasan ilegal di dunia.

Setelah 2 tahun aktivitas dan menganalisis 1 juta sinyal intrusi setiap hari dari puluhan ribu pengguna di 160 negara, kami mulai memiliki umpan global “Batman sonar” yang akurat tentang ancaman dunia maya. Dan ada beberapa takeaways menarik untuk diuraikan.

Ancaman dunia maya dengan banyak wajah

Pertama-tama, ancaman dunia maya global sangat beragam. Apa yang kita lihat saat melihat jenis serangan yang dilaporkan, asalnya, dan Sistem Otonom (AS) di balik alamat IP berbahaya?

Pemindai dan upaya Brute force masih merupakan vektor intrusi paling populer yang dilihat komunitas kami dan menempati peringkat #1. Cukup logis, karena pengawasan adalah langkah pertama menuju intrusi yang lebih maju. Aktivitas pemindaian yang dilihat oleh komunitas kami sebagian besar adalah pemindaian port atau pemeriksaan berbasis HTTP.

Related Post :   Pakar Melihat Lonjakan Tiba-tiba dalam Eksploitasi Kerentanan Plugin Pembuat Halaman WordPress

Di antara berbagai jenis intrusi yang digunakan oleh peretas, upaya paksa pada layanan sensitif (SSH, email, URL admin, dll.) adalah #2. Bukan informasi terobosan, tetapi ketika penelitian menunjukkan bahwa serangan brute force menyumbang 6% dari serangan dunia maya di dunia, tidak mengherankan untuk melihatnya sebagai yang dominan, terutama karena masih salah satu yang termudah dan termurah untuk diotomatisasi dan disebarkan. (halo anak-anak skrip). Karena cukup mudah untuk dilawan, orang akan berpikir itu jarang berhasil, tapi hei, 6%!

Keamanan Kolaboratif

Log4J masih belum selesai

Di antara upaya eksploitasi paling populer yang dilihat komunitas kami, kami memiliki Log4j. Anda memang menikmati badai tahun lalu tentang bagaimana utilitas logging open-source sederhana untuk Apache dengan kerentanan mengambil alih dunia keamanan siber dan menyebabkan sakit kepala yang tak ada habisnya bagi para pakar keamanan siber. Dan, tentu saja, dunia kriminal dengan senang hati mengeksploitasinya dengan bot pemindaian otomatis yang mencari layanan yang rentan.

Nah, komunitas kita telah menyaksikan badai itu. Setelah puncak Desember setelah pengungkapan berlalu, segalanya menjadi sedikit tenang, tetapi aktivitas pemindaian untuk Log4j dimulai lagi, meskipun pada tingkat yang lebih rendah tetapi konstan, didorong oleh bot.

Keamanan Kolaboratif

Pesan utamanya adalah jika Anda merasa terlindungi karena badai “pemasaran” telah berlalu, pikirkan dua kali.

Masih ada aktivitas yang sangat agresif yang ingin menggunakan kerentanan.

Related Post :   Microsoft Rebut 41 Domain yang Digunakan dalam Serangan Spear-Phishing oleh Bohrium Hacker

Misalnya, beberapa minggu yang lalu, spektrum besar komunitas kami dipindai karena alamat IP 13.89.48.118 dilaporkan oleh lebih dari 500 pengguna dalam waktu kurang dari 12 jam. Itu bergabung dengan 20000+ alamat IP lain di daftar blokir komunitas untuk perbaikan.

Keamanan Kolaboratif
Keamanan Kolaboratif

Alamat IP: sumber daya inti penjahat dunia maya

Alamat IP jarang jahat selamanya dan reputasinya dapat berubah dari satu hari ke hari lainnya. Dengan komunitas yang terus-menerus berbagi informasi tentang mereka, pembaruan apa pun dapat langsung ditransfer ke pengguna. Dalam jangka panjang, ini memberikan data yang sangat berharga tentang durasi agresivitas alamat IP.

Ini adalah cuplikan jumlah alamat IP yang masuk ke data lake CrowdSec (ditandai sebagai berbahaya). Yang menarik untuk dicatat adalah bahwa penjahat dunia maya memang mengubah IP yang mereka gunakan untuk melakukan serangan:

* hanya 2,79% dari ini adalah anggota tetap database kami

* 12,63% dari semua IP yang dikumpulkan berubah setiap minggu

* Tingkat pembaruan harian duduk di 1,8%

Keamanan Kolaboratif

**Sistem otonom memiliki pendekatan berbeda untuk mengurangi IP yang disusupi**

Setiap IP adalah bagian dari kumpulan alamat yang dikelola oleh AS (Sistem Otonom). AS adalah jaringan luas atau kelompok jaringan yang memiliki kebijakan perutean terpadu. Setiap komputer atau perangkat yang terhubung ke Internet terhubung ke AS. Biasanya, setiap AS dioperasikan oleh satu organisasi besar, seperti penyedia layanan Internet (ISP), perusahaan teknologi besar, universitas, atau lembaga pemerintah, dan dengan demikian bertanggung jawab atas alamat IP.

Related Post :   Peretasan Bluetooth Baru Dapat Membiarkan Penyerang Membuka Kunci Cerdas dan Mobil dari Jarak Jauh

Setiap IP agresif yang dibagikan oleh komunitas CrowdSec diperkaya oleh AS-nya. Ini, dikombinasikan dengan data tentang durasi agresivitas, dapat memberikan gambaran yang jelas tentang bagaimana AS mengelola IP yang disusupi.

Keamanan Kolaboratif

Meskipun melihat hanya pada jumlah aset yang dikompromikan mungkin merupakan sudut pandang, itu tidak selalu adil. Tidak semua operator memiliki ukuran yang sama, dan beberapa menghosting layanan “lebih berisiko” (halo PHP CMS yang sudah ketinggalan zaman) daripada yang lain.

Durasi rata-rata jahat dari semua IP di AS yang sama menunjukkan uji tuntas operator dalam mengidentifikasi dan menangani aset yang disusupi. Distribusi durasi rata-rata ditunjukkan dengan panah yang menunjuk ke posisi AS yang paling banyak dilaporkan untuk penyedia cloud terkemuka. Misalnya, di AWS, alamat yang disusupi tetap disusupi selama rata-rata 3 hari. Azure 9 hari. Di akhir grafik, AS dari China atau Rusia (kejutan…) “kurang cepat” untuk bertindak atas IP yang dikompromikan.

Artikel ini dimaksudkan untuk memberikan gambaran umum tentang aktivitas ancaman dan kecerdasan yang dilihat pengguna CrowdSec setiap hari. Silakan berkonsultasi dengan versi lengkap laporan di sini jika Anda ingin lebih detail.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.