Amintindu-ne de episoade precum Mirai din 2016, când camerele și routerele au fost transformate în instrumente de atac, devine evident că exploatarea dispozitivelor din locuințe nu e doar o problemă tehnică, ci una cu impact asupra tuturor. GreyNoise Labs a pus la dispoziție gratuit un instrument numit GreyNoise IP Check, accesibil online, care le permite oricui să verifice dacă o adresă IP a fost observată participând la scanări malițioase, inclusiv cele provenite din rețele proxy rezidențiale sau botneturi. Compania, care supraveghează activitatea la scară largă printr-o rețea globală de senzori, atenționează că acest fenomen a crescut semnificativ în ultimul an și că mulți utilizatori contribuie, fără să știe, la traficul folosit de alții.
Instrumentul oferă o verificare simplă și relativ puțin intruzivă: pe pagina scannerului, rezultatul poate apărea ca Clean dacă nu s-a detectat activitate de scanare malițioasă, Malicious/Suspicious dacă IP-ul a manifestat comportament de scanare și necesită investigații în rețea, sau Common Business Service când IP-ul aparține unui serviciu VPN, unei rețele corporative sau unui furnizor cloud și activitatea este tipică acelor medii. Când există activitate corelată cu IP-ul introdus, platforma afișează un timeline istoric pe 90 de zile, informație utilă pentru a determina momentul în care o aplicație sau un client de partajare a lățimii de bandă a început să genereze trafic suspect. Un exemplu ar fi situația în care instalarea unui client de partajare sau a unei aplicații dubioase precede apariția scanărilor; astfel de corelații pot orienta acțiunile de remediere.
Pentru utilizatorii mai tehnici, GreyNoise oferă și o API JSON neautentificată și fără limitare de rată, accesibilă prin curl, ceea ce permite integrarea verificărilor în scripturi sau sisteme automate de monitorizare. Dacă rezultatul indică Malicious/Suspicious, primul pas recomandat este rularea de scanări antimalware pe toate dispozitivele din aceeași rețea, cu o atenție specială pentru routere și pentru dispozitive smart, precum televizoarele inteligente, care sunt adesea neglijate. De asemenea, actualizarea firmware-ului la cea mai recentă versiune, schimbarea parolelor de admin și dezactivarea accesului la distanță când nu e necesar sunt măsuri simple, dar eficiente.
Problema se complică şi pentru că unele persoane instalează deliberat software care transformă conexiunea de acasă într-un punct de ieșire pentru traficul altora, de multe ori contra unor sume mici, iar alteori malware-ul se infiltrează prin aplicații sau extensii de browser aparent inofensive. Pe măsură ce instrumentele care leagă modele lingvistice mari de servicii și date, inclusiv protocoalele noi pentru integrare, devin tot mai răspândite, echipele de securitate trebuie să urmărească noii vectori și să adapteze practicile. Un cheat sheet gratuit descrie șapte bune practici utile pentru echipele care lucrează cu astfel de integrări.
GreyNoise IP Check pune la dispoziție un timeline istoric de 90 de zile, date care pot ajuta la corelarea instalării unei aplicații sau a unui client de partajare cu momentul în care au început scanările malițioase, iar API-ul JSON accesibil prin curl oferă opțiuni pentru automatizarea verificărilor de către administratori. Aceste resurse sunt orientate mai mult către identificare și corelare decât către pedepsire. Ți-ai verificat recent adresa IP sau dispozitivele din rețeaua de acasă?
Fii primul care comentează