📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os pesquisadores alertam que os proxies residenciais usados para rotear tráfego malicioso são um grande problema para os sistemas de reputação de IP, já que não há uma distinção clara entre invasores e usuários legítimos.
Isso ocorre porque os proxies residenciais têm vida muito curta, não estão envolvidos ou são sistematicamente alternados, impedindo que os sistemas de defesa os catalogem a tempo.
A plataforma de inteligência de segurança cibernética GreyNoise determinou isso depois de examinar um enorme conjunto de dados de 4 bilhões de sessões maliciosas direcionadas à borda durante um período de três meses.
Aproximadamente 39% dessas sessões parecem originar-se de redes domésticas, certamente parte de proxies residenciais, mas 78% delas são invisíveis para feeds de reputação.
“Os dados revelam um padrão que desafia uma suposição central da defesa da rede: que é possível diferenciar invasores de usuários legítimos pela origem do tráfego”, explica GreyNoise.
Segundo a empresa, a maioria dos IPs residenciais são usados uma ou duas vezes e depois desaparecem, com os invasores alternando-os com outros, mantendo o ritmo em um nível que os sistemas de reputação não os sinalizarão.
Cerca de 89,7% dos IPs residenciais estão ativos em operações maliciosas há menos de um mês, com apenas 8,7% durando 2 meses e 1,6% persistindo por 3 meses.
Aqueles que se mantêm vivos por mais tempo parecem ter uma especialização segundo os pesquisadores, sendo focados em SSH e utilizando pilhas TCP Linux.
Tipo de atividade por tipo de fonteFonte: GreyNoise
A diversidade é outro fator que complica a sinalização e o bloqueio, já que os dados da GreyNoise mostram que os IPs residenciais participantes dos ataques pertencem a 683 provedores de serviços de Internet.
Outra razão para sua furtividade é que eles são usados principalmente para varredura e reconhecimento de rede, com apenas 0,1% envolvidos em explorações reais, dizem os pesquisadores.
Uma pequena porcentagem (1,3%) teve como alvo páginas de login de VPN corporativas, enquanto alguns casos limitados também envolveram IPs residenciais para travessia de caminho e tentativas de preenchimento de credenciais.
Em relação à origem dos proxies residenciais, a GreyNoise afirma que a China, a Índia e o Brasil são os principais contribuintes, com o tráfego dos IPs seguindo os padrões de sono humano, caindo um terço à noite, quando a maioria das pessoas desliga seus dispositivos.
Atividade de proxies baseados na ÍndiaFonte: GreyNoise
Os pesquisadores relatam que o tráfego proxy residencial é gerado por dois ecossistemas distintos e não sobrepostos: botnets IoT e computadores infectados.
Nos casos que envolvem este último, os proxies vêm de SDKs em VPNs gratuitas, bloqueadores de anúncios e aplicativos semelhantes, que inscrevem os dispositivos dos usuários em esquemas de venda de largura de banda.
GreyNoise também destacou a resiliência dessas redes usando o exemplo da IPIDEA, uma das maiores redes proxy residenciais do mundo, que foi recentemente interrompida pelo Google Threat Intelligence Group (GTIG) e parceiros.
A interrupção reduziu o seu pool de proxy em cerca de 40%, mas no período que se seguiu, o tráfego do datacenter aumentou, indicando que a procura pode ser absorvida por outros quando necessário e que a capacidade perdida é rapidamente substituída.
Efeito da interrupção do IPIDEA e a resposta do ecossistemaFonte: GreyNoise
GreyNoise diz que as táticas de evasão de proxy residencial exigem o abandono da reputação do IP como sinal principal e o foco no comportamento.
Os pesquisadores sugerem detectar sondagens sequenciais de IPs residenciais rotativos, bloquear protocolos claramente ilegítimos, como SMB, do espaço do ISP e rastrear impressões digitais de dispositivos que sobrevivem à rotação de IP.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
Isso ocorre porque os proxies residenciais têm vida muito curta, não estão envolvidos ou são sistematicamente alternados, impedindo que os sistemas de defesa os catalogem a tempo.
A plataforma de inteligência de segurança cibernética GreyNoise determinou isso depois de examinar um enorme conjunto de dados de 4 bilhões de sessões maliciosas direcionadas à borda durante um período de três meses.
Aproximadamente 39% dessas sessões parecem originar-se de redes domésticas, certamente parte de proxies residenciais, mas 78% delas são invisíveis para feeds de reputação.
“Os dados revelam um padrão que desafia uma suposição central da defesa da rede: que é possível diferenciar invasores de usuários legítimos pela origem do tráfego”, explica GreyNoise.
Segundo a empresa, a maioria dos IPs residenciais são usados uma ou duas vezes e depois desaparecem, com os invasores alternando-os com outros, mantendo o ritmo em um nível que os sistemas de reputação não os sinalizarão.
Cerca de 89,7% dos IPs residenciais estão ativos em operações maliciosas há menos de um mês, com apenas 8,7% durando 2 meses e 1,6% persistindo por 3 meses.
Aqueles que se mantêm vivos por mais tempo parecem ter uma especialização segundo os pesquisadores, sendo focados em SSH e utilizando pilhas TCP Linux.
Tipo de atividade por tipo de fonteFonte: GreyNoise
A diversidade é outro fator que complica a sinalização e o bloqueio, já que os dados da GreyNoise mostram que os IPs residenciais participantes dos ataques pertencem a 683 provedores de serviços de Internet.
Outra razão para sua furtividade é que eles são usados principalmente para varredura e reconhecimento de rede, com apenas 0,1% envolvidos em explorações reais, dizem os pesquisadores.
Uma pequena porcentagem (1,3%) teve como alvo páginas de login de VPN corporativas, enquanto alguns casos limitados também envolveram IPs residenciais para travessia de caminho e tentativas de preenchimento de credenciais.
Em relação à origem dos proxies residenciais, a GreyNoise afirma que a China, a Índia e o Brasil são os principais contribuintes, com o tráfego dos IPs seguindo os padrões de sono humano, caindo um terço à noite, quando a maioria das pessoas desliga seus dispositivos.
Atividade de proxies baseados na ÍndiaFonte: GreyNoise
Os pesquisadores relatam que o tráfego proxy residencial é gerado por dois ecossistemas distintos e não sobrepostos: botnets IoT e computadores infectados.
Nos casos que envolvem este último, os proxies vêm de SDKs em VPNs gratuitas, bloqueadores de anúncios e aplicativos semelhantes, que inscrevem os dispositivos dos usuários em esquemas de venda de largura de banda.
GreyNoise também destacou a resiliência dessas redes usando o exemplo da IPIDEA, uma das maiores redes proxy residenciais do mundo, que foi recentemente interrompida pelo Google Threat Intelligence Group (GTIG) e parceiros.
A interrupção reduziu o seu pool de proxy em cerca de 40%, mas no período que se seguiu, o tráfego do datacenter aumentou, indicando que a procura pode ser absorvida por outros quando necessário e que a capacidade perdida é rapidamente substituída.
Efeito da interrupção do IPIDEA e a resposta do ecossistemaFonte: GreyNoise
GreyNoise diz que as táticas de evasão de proxy residencial exigem o abandono da reputação do IP como sinal principal e o foco no comportamento.
Os pesquisadores sugerem detectar sondagens sequenciais de IPs residenciais rotativos, bloquear protocolos claramente ilegítimos, como SMB, do espaço do ISP e rastrear impressões digitais de dispositivos que sobrevivem à rotação de IP.
Pentesting automatizado cobre apenas 1 de 6 superfícies.
O pentesting automatizado prova que o caminho existe. O BAS prova se seus controles o impedem. A maioria das equipes executa uma sem a outra. Este whitepaper mapeia seis superfícies de validação, mostra onde termina a cobertura e fornece aos profissionais três perguntas de diagnóstico para qualquer avaliação de ferramenta.
Obtenha sua cópia agora
#samirnews #samir #news #boletimtec #os #proxies #residenciais #escaparam #das #verificações #de #reputação #de #ip #em #78% #das #sessões #4b
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário