Jak wynika z najnowszej analizy zagrożeń przeprowadzonej przez F5 Labs[1], Europa jest celem większej liczby ataków przeprowadzanych z jej własnego terenu niż jakikolwiek inny region świata. Większość ataków jest inicjowana z adresów IP zlokalizowanych w Holandii, a w dalszej kolejności, z tych znajdujących się w Stanach Zjednoczonych, Chinach, Rosji i Francji.
Europejskie systemy są atakowane z adresów IP z całego świata. Krajem, z którego pochodziło najwięcej ataków, okazała się Holandia. Na kolejnych miejscach pierwszej dziesiątki znalazły się: Stany Zjednoczone, Chiny, Rosja, Francja, Iran, Wietnam, Kanada, Indie i Indonezja. Warto zauważyć, że z Holandii pochodziło 1,5-krotnie więcej ataków na systemy europejskie niż ze Stanów Zjednoczonych i Chin łącznie, a także 6-krotnie więcej niż z Indonezji.
Najczęściej wykorzystywane w atakach sieci (ASN) i dostawcy usług internetowych
Trzy sieci, z których wykryto najwięcej ataków (holenderska sieć HostPalace Web Solutions, francuska – Online SAS i NForce Entertainement z Holandii) to dostawcy usług hostingowych, którzy regularnie pojawiają się na sporządzanych przez F5 Labs listach sieci najczęściej używanych przez cyberprzestępców[2].
72% wszystkich zarejestrowanych w raporcie numerów ASN[3] reprezentuje dostawców usług internetowych, pozostałe 28% to dostawcy usług hostingowych. W ramach przeprowadzonych badań analitycy F5 Labs wskazali też 50 adresów IP, które są najczęściej wykorzystywane do atakowania celów w Europie.[4] Z tą listą powinni zapoznać się przedsiębiorcy i sprawdzić dzienniki swoich sieci pod kątem połączeń z wyszczególnionymi w niej adresami IP. Ze względów bezpieczeństwa adresom tym powinni się również przyjrzeć właściciele sieci.
Najczęściej atakowane porty
Dzięki analizie najczęściej atakowanych portów, ekspertom z F5 Labs udało się określić typ systemów, które znajdują się na celowniku cyberprzestępców. Najczęściej atakowany port w Europie (port 5060) wykorzystywany jest w telefonii internetowej do komunikacji za pośrednictwem telefonów i systemów wideokonferencyjnych. Jak wynika z analiz ruchu związanego z atakami ukierunkowanymi na określoną lokalizację, port ten regularnie jest celem intensywnych ataków w trakcie globalnych konferencji dyplomatycznych, takich jak niedawne ważne szczyty Donalda Trumpa z Kim Dzong Unem[5] i Władimirem Putinem[6].
Skuteczne zabezpieczenie
Według ekspertów F5 firmy powinny nieustannie skanować swoje systemy i porty pod kątem zewnętrznych luk w zabezpieczeniach, a każdy system narażony na zewnętrzne ataki na porty najczęściej wybierane przez przestępców, powinien być traktowany priorytetowo przy konfiguracji zapory lub zarządzaniu lukami w zabezpieczeniach.
„Administratorzy sieci i inżynierowie zabezpieczeń powinni przejrzeć dzienniki sieci pod kątem połączeń z adresami IP, z których najczęściej pochodzą ataki. W przypadku ich wykrycia, należy zgłosić nadużycie właścicielom sieci o danym numerze ASN i dostawcom usług internetowych, aby mogli oni wyłączyć systemy przestępców” — mówi Sara Boddy, dyrektor ds. badania zagrożeń w F5 Labs.
Kłopotliwe może być prowadzenie dużych czarnych list, podobnie jak blokowanie adresów IP, które należą do puli adresów określonego dostawcy usług internetowych. Mogą one bowiem zapewniać dostęp do Internetu w miejscach zamieszkania klientów atakowanej firmy. „W takich przypadkach systemem atakującym najprawdopodobniej jest zainfekowane urządzenie IoT, którego właściciele nie zdają sobie sprawy z zagrożenia i nie mają możliwości jego usunięcia” – dodaje Sara Boddy.
Zablokowanie ruchu z całej sieci o konkretnym numerze ASN lub od określonego dostawcy usług internetowych mogłoby uniemożliwić współpracę użytkowników z daną firmą. W takim przypadku lepszym rozwiązaniem będzie zablokowanie wyłącznie dostawcy usług internetowych obsługującego kraj, z którym dane przedsiębiorstwo nie współpracuje w oparciu o geolokalizację na poziomie kraju.
[1] Analitycy F5 Labs we współpracy z firmą Baffin Bay Networks zajmującą się analizą zagrożeń podjęli się zbadania globalnego środowiska ataków, aby lepiej zrozumieć zagrożenia w poszczególnych regionach, wyodrębnić wspólne cechy przestępców i powtarzające się atakowane porty oraz wskazać elementy unikalne. W serii przeprowadzonych badań przeanalizowano ataki, które miały miejsce w tym samym 90-dniowym okresie w Europie, Stanach Zjednoczonych, Kanadzie i Australii. Wnioski z badania F5 Labs zostały wyciągnięte na podstawie analizy ruchu związanego z atakami ukierunkowanymi na europejskie adresy IP w okresie od 1 grudnia 2018 r. do 1 marca 2019 r.
[3] Autonomous System – zbiór adresów IP pod wspólną administracyjną kontrolą, ze spójną routing policy
[5] https://www.f5.com/labs/articles/threat-intelligence/russian-attacks-against-singapore-spike-during-trump-kim-summit
[6] https://www.f5.com/labs/articles/threat-intelligence/cyber-attacks-spike-in-finland-before-trump-putin-meeting
Link do strony artykułu: https://cafe.wirtualnemedia.pl/centrum-prasowe/artykul/cyberataki-wciaz-przybieraja-na-sile-europa-najczesciej-atakowana-z-wlasnego-terenu