Amikor az emberek az etikus hackelésre gondolnak, általában egy fekete kapucnis srác jut eszükbe, aki a billentyűzet fölött görnyedve próbálja feltörni valakinek a rendszerét (persze jó szándékkal). Na, de mi van a másik oldallal? Mi van akkor, ha nem támadni kell, hanem védekezni?
Egy kisebb vállalkozás (KKV) biztonsági megerősítése volt a célunk, és abból kellett kihoznunk a legtöbbet, ami épp rendelkezésre állt. Egyértelmű volt, hogy az alapvető biztonsági beállítások rendben vannak: a router megfelelően konfigurálva, a jelszavak erősek, és az összes szoftver naprakész. De ez még nem elég.
A támadók nem alszanak
Ahogy haladtunk előre a védelem megerősítésében, észrevettük, hogy valami nincs rendben. A router naplófájljait átnézve kiderült, hogy rendszeresen próbálkoznak külső IP-k a rendszer elérésével. És nem barátságos IP-k voltak, hanem olyanok, amelyek gyanús tevékenységeikről híresek.
Itt jött képbe az AbuseIPDB, ami egy közösségi adatbázis a rosszindulatú IP-címekről. Összevetettük az észlelt IP-ket az adatbázisukkal, és hamar kiderült, hogy bizony nem véletlen próbálkoztak ezek a címek.
Gyanús IP-k, amiket találtunk:
- 103.102.230.2
- 103.102.230.3
- 103.102.230.4
- 103.102.230.5
- 103.102.230.6
Ezeket az IP-ket a rendszerünk folyamatosan blokkolta, és ahogy egyre többet tiltottunk le, úgy csökkent a gyanús próbálkozások száma. De persze felmerült a kérdés: kik ezek?
Az Abuseipdb ezt mutatja:
Kik állhatnak a támadások mögött?
Amikor egy sorozatban érkező IP-k ennyire aktívan próbálkoznak (85.000 bejelentés volt erre a a bizonyos IP-re), akkor két lehetőség van:
- Egy feltört szolgáltató – lehet, hogy egy cég infrastruktúráját törték fel, és most azt használják támadásokra.
- Egy szervezett bűnözői csoport – olyan támadók, akiknek megvannak a saját kis „játszótereik” és rendszeresen automatizált botneteket használnak.
Ami biztos: egyik verzió sem jó hír.
Mit tanultunk ebből?
A védekezés nem csak annyi, hogy „legyen egy tűzfalunk” és „használjunk erős jelszavakat”. A hálózati forgalom monitorozása, a gyanús IP-k kiszűrése és a proaktív védekezés kulcsfontosságú. Ha ezt nem tettük volna meg, akkor talán a következő lépés az lett volna, hogy egy nap arra ébred a cég, hogy valaki feltörte a rendszerüket.
Amit minden vállalkozás megtehet:
✔ Használj egy megbízható tűzfalat és állítsd be megfelelően.
✔ Figyeld a bejövő forgalmat – ha gyanús IP-k próbálkoznak, az nem véletlen.
✔ Használj olyan szolgáltatásokat, mint az AbuseIPDB, hogy időben felismerd a veszélyt.
✔ Gondolj a védelemre előre, ne csak akkor, amikor már baj van.
A kiberbűnözők nem alszanak. De ha a Blue Team is éber, akkor nincs könnyű dolguk.