Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cómo defenderse contra direcciones IP maliciosas en la nube

Los ciberdelincuentes han encontrado una forma de utilizar la nube para enmascarar sus ubicaciones. El experto Rob Shapland analiza las opciones que tienen las organizaciones para lidiar con direcciones IP maliciosas.

El uso de la infraestructura en la nube para administrar los ataques es una táctica favorita de los ciberdelincuentes que intentan ocultar sus actividades, y es una forma eficaz de enmascarar direcciones IP maliciosas.

Por ejemplo, una organización criminal puede apuntar a compañías con una campaña de malware entregada por correo electrónico. Cuando se abre el archivo adjunto o el enlace, explota el software desactualizado en la computadora de la víctima y abre un canal al servidor de comando y control (C&C) del atacante.

El servidor de C&C está alojado en una instancia de nube pública como AWS o Google Cloud. Esto significa que el atacante puede usar la dirección IP del servidor, que es propiedad del proveedor de la nube, sin revelar ninguna información en la base de datos de WHOIS. Estas instancias en la nube se pueden registrar y pagar de manera fraudulenta, lo que hace que sea prácticamente imposible rastrear un ataque de vuelta al perpetrador real.

¿Qué puede hacer una organización cuando cae víctima de uno de estos ataques? No puede bloquear todo el rango de direcciones IP maliciosas de las que se origina el ataque, ya que también puede bloquear servicios legítimos que utilizan el mismo proveedor de nube. Es posible bloquear las direcciones IP maliciosas individuales, pero los atacantes tienden a tener muchas y pueden rotarlas para dificultar la detención total del tráfico malicioso. Sin embargo, todavía vale la pena incluir en la lista negra las direcciones IP exactas vinculadas a actividades maliciosas; de vez en cuando pueden estar codificados en el malware utilizado por los atacantes, y las listas negras pueden deshabilitar completamente el ataque.

También se pueden tomar algunos pasos adicionales. Primero, informen sobre las direcciones IP maliciosas al proveedor de la nube. En muchos casos, el proveedor de la nube investigará y cerrará la instancia ofensiva, aunque estén preparados porque esto tarda un poco. Tengan en cuenta que no es una solución garantizada y algunos proveedores de la nube no son confiables para deshabilitar la actividad maliciosa dentro de su infraestructura.

Si el proveedor de la nube no responde después de un período breve, informen las direcciones IP maliciosas a un proveedor de inteligencia de amenazas, como ThreatCrowd, Cisco Umbrella, Pulsedive o AlienVault OTX. La dirección IP aparecerá en estas fuentes de inteligencia de amenazas y ayudará a otras organizaciones a conocer y bloquear las IP ofensivas.

También pueden informar sobre los ataques al equipo de preparación para emergencias informáticas (CERT) del país que alberga la dirección IP, lo que puede tener más influencia sobre la compañía de alojamiento para que resuelva el problema.

Y también pueden generar ruido al respecto, lo cual es sorprendentemente efectivo. Nombrar y avergonzar publicando en redes sociales, especialmente Twitter y LinkedIn, y etiquetar a la compañía que aloja la dirección IP maliciosa a menudo puede producir resultados rápidos. También pueden intentar ponerse en contacto con personas de nivel sénior de la empresa a través de LinkedIn para atraer su atención con más éxito. Cualquiera de estos enfoques puede ser más productivo que presentar un informe de correo electrónico estándar. Dependiendo de la compañía en cuestión, también pueden reportarlo a su proveedor ascendente.

En general, se trata de que los proveedores de alojamiento aborden el problema del uso malintencionado de las direcciones IP de la nube, ya que se está abusando de su infraestructura. Algunos se preocupan más que otros, pero pueden ayudar a otras organizaciones informando las direcciones IP maliciosas a varias fuentes de inteligencia de amenazas como parte de su proceso de remediación.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close