Журнал "Information Security/ Информационная безопасность" #1, 2022

CrowdSec полагается исключительно на данные от пользователей с высокой репутацией. Благодаря этому база не содержит ложных срабатываний и несуществующих IP-адре- сов. рые обеспечивают анонимность: чем больше их доступно, тем лучше. Простой блокировки IP недостаточно Дефицит IP-адресов и их необходимость для проведения атак приводит к мысли о том, что, если повысить стоимость "игры", количество желающих в нее поиграть значительно уменьшится. Если для каждой атаки на цель придется искать новые чистые IP-адреса, кото- рые не использовались в других атаках, стоимость входа в "игру" значительно повысится. Самым очевидным решением в этом контексте становится блокиров- ка IP-адресов, с которых выпол- няются вредоносные действия. Разумеется, концепция бана IP-адресов и составления блок- листов не является чем-то новым. Она несовершенна и не спасает от профессиональных хакеров, но при всей своей при- митивности даже она может отсечь основную массу хаке- ров-индивидуалов, которые не имеют значительных ресурсов. Подобная практика может немного выровнять ситуацию в пользу компаний, поскольку после начала пандемии хакер- ское сообщество получило настоящий подарок в виде армии неквалифицированных "удаленщиков" и периметр как концепция утратил актуаль- ность. Репутация и коллективный иммунитет Бан-лист в отдельно взятой компании не представляет собой большой ценности, поскольку охватывает лишь небольшое количество атак, "доставшихся" этой конкретной сети. Учитывая этот факт, логично использовать коллек- тивно сформированный и кол- лективно проверенный бан- лист, над которым работало целое сообщество. Такая кон- цепция используется в коллек- тивной Open-Source-системе предотвращения проникнове- ний CrowdSec: коллективный бан-лист формируется путем обмена информацией между пользователями CrowdSec об IP-адресах, с которых на них выполнялись атаки. Для хакера IP-адрес критиче- ски важен, это его точка входа. Для компании же информация о том, с какого адреса была проведена атака, не имеет ника- кой ценности и не угрожает ее конфиденциальности. Мы полу- чаем ситуацию взаимной выго- ды: даже самый строгий без- опасник внутри компании не беспокоится из-за "слива" стра- тегических данных в общий доступ, а сообщество получает возможность больно бить по важным для злоумышленников точкам. Пользователи CrowdSec составляют сейчас самую большую в истории сеть сбора CTI, с десятками тысяч реаль- ных серверов, обслуживаю- щих реальные сервисы по всему миру. Если каждый сле- дит за серверами и сервисами "соседей", это делает всех сильнее. Обнаруживая и рас- пространяя IP-адреса наруши- телей, CrowdSec лишает их самого ценного – анонимно- сти. Когда преступники исчер- пают все доступные IP-адреса, это сильно затруднит их дея- тельность. Большинство баз данных репутации IP страдают от лож- ных срабатываний, это снижает их надежность или даже делает бесполезными. Чтобы не допу- стить такой ситуации, CrowdSec полагается исключительно на данные от пользователей с высокой репутацией. Благодаря этому база не содержит ложных срабатываний и несуществую- щих IP-адресов. В версии 1.2 CrowdSec появи- лась надежная система репута- ции Consensus V2. В ее задачи входит проверка и установка "ранга доверия" для всех поль- зователей, обменивающихся сигналами с сообществом. Репутация основывается на: l регулярности обмена сигна- лами или IP-адресами с Crowd- Sec; l согласованности совместно используемой информации; l корреляции получаемых дан- ных с ханипотами CrowdSec и данными наблюдателей с высо- кой репутацией; l результатах перекрестной проверки с помощью сторонних служб; l номерах AS (автономных систем), известных как источ- ники массового постоянного агрессивного поведения. К 2025 г. в сети CrowdSec будут миллионы серверов, пре- доставляющих сообществу выявленные ими мошенниче- ские IP-адреса. Это сделает сообщество CrowdSec крупней- шим на сегодняшний день кра- удсорсинговым проектом, направленным на борьбу с киберпреступностью. Совмест- ными усилиями участников будет сформирована глобаль- ная база репутации IP-адресов, которая, как предполагается, защитит всех желающих от кибератак в реальном времени. Система бесплатна для поль- зователей, которые делятся сиг- налами о вредоносных IP-адре- сах, за это они также получают блоклисты, собранные сообще- ством. Факт того, что CrowdSec доступен бесплатно, способ- ствует быстрому росту сообще- ства пользователей по всему миру, а значит, и масштабиро- ванию, и усилению базы репу- тации IP-адресов. Сейчас под- ходящий момент присоединить- ся к сообществу CrowdSec и принять участие в формирова- нии коллективного киберимму- нитета. l • 27 DeCePtIon www.itsec.ru Концепция бана IP-адресов и составления блок- листов не является чем-то новым. Она несовершенна и не спасает от профессиональных хакеров Если каждый следит за серверами и сервисами "соседей", это делает всех сильнее. Обнаруживая и распространяя IP-адреса нарушителей, CrowdSec лишает их самого ценного – анонимности После начала пандемии хакерское сообщество получило настоящий подарок в виде армии неквалифицированных "удаленщиков" Ваше мнение и вопросы присылайте по адресу is@groteck.ru

RkJQdWJsaXNoZXIy Mzk4NzYw