Tìm hiểu về địa chỉ IP của tội phạm mạng
Tội phạm mạng không bao giờ sử dụng địa chỉ IP thực của chúng để tiếp cận đến các mục tiêu. Chúng luôn sử dụng IP của bên thứ ba (proxy, VPN, TOR) để thực hiện các cuộc tấn công.
Chúng sử dụng các địa chỉ IP này như một phương tiện để thực hiện bất kỳ cuộc tấn công nào như từ chối dịch vụ, do thám mạng, tấn công brute force hay để vận hành các dịch vụ botnet. Sau đây là một số ví dụ về các cách để có được những địa chỉ IP này của bọn tội phạm mạng.
Khai thác IoT
Chiếm đoạt máy móc và cụ thể hơn là các thiết bị IoT: Nhóm thiết bị IoT được quản lý và bảo mật kém với thông tin xác thực mặc định và firmware lỗi thời là mục tiêu ưa thích của tin tặc để khai thác và sử dụng trong các cuộc tấn công DDoS.
VPS
Những kẻ tấn công có thể thuê các máy chủ ảo của bất kỳ nhà cung cấp cloud nào để triển khai botnet và dò quét các mục tiêu dễ bị tấn công. Khi bị nhà cung cấp phát hiện, chúng chỉ cần đổi sang một nhà cung cấp ở các quốc gia khác.
Darkweb
Tin tặc cũng có thể tìm đến các trang web dành cho tội phạm mạng (dark web) và có được một mạng lưới các bot để thực hiện các cuộc tấn công như DDoS với giá vài trăm đô la.
Làm sao để ngăn cản tấn công mạng?
Có thể ngăn cản các cuộc tấn công mạng xảy ra bằng cách chặn (block) các IP đã biết là được sử dụng bởi tội phạm mạng đồng thời tăng cường bảo mật cho các tài sản trực tuyến của bạn.
Các hoạt động botnet và dò quét mạng (scan) tự động sẽ để lại các dấu vết sau khi thực hiện. Điều này tạo ra một lượng lớn cảnh báo cho các nhà phân tích SOC.
Có nhiều giải pháp gây khó khăn hơn cho những kẻ tấn công. Báo cáo IP là một phần trong số đó. Giả sử người dùng có thể đánh giá rủi ro của một IP kết nối với một dịch vụ. Trong trường hợp đó, có thể chặn những IP độc hại đã biết để đảm bảo những IP đó không thể làm hại bất kỳ ai nữa. Giải pháp này sẽ lấy đi những địa chỉ IP mà bọn tội phạm đã dành thời gian và tiền bạc để xây dựng nó.
Thử nghiệm của CrowdSe
CrowdSe đã thực hiện một thử nghiệm: họ thiết lập hai VPS giống hệt nhau trên cùng một nhà cung cấp cloud, với hai dịch vụ SSH và Nginx. Cả hai đều được cài đặt công cụ để phát hiện các nỗ lực xâm nhập. Tuy nhiên, chỉ một máy có IPS nhận thông tin các IP được báo cáo từ cộng đồng CrowdSec và ngăn chặn các IP bị gắn nhãn độc hại.
Kết quả
Nhờ danh sách chặn từ cộng đồng, máy có IPS đã ngăn chặn được 92% các cuộc tấn công so với máy không có IPS. Đó là một sự gia tăng đáng kể về mức độ bảo mật.
Bạn có thể đọc thêm về phương pháp và kết quả chi tiết tại: https://crowdsec.net.
Danh sách chặn IP của cộng đồng đã làm tê liệt bọn tội phạm bằng cách vô hiệu hóa nhóm địa chỉ IP của chúng. Nó cũng giúp các nhà phân tích và chuyên gia bảo mật giảm số lượng các cảnh báo cần phân tích và có nhiều thời gian hơn để tập trung vào các cảnh báo và chủ đề quan trọng hơn.
Để tìm hiểu thêm về an toàn thông tin, bạn có thể xem bài viết 3 mối đe dọa thường gặp nhất trong thanh toán số.
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC)
