מחקר: אירופה היא אויב הסייבר הגדול ביותר של עצמה
מחקר מודיעין האיומים של F5 Labs מעלה שאירופה סובלת מהתקפות סייבר מרובות יותר מתוך גבולותיה - לעומת התקפות מכל מקום אחר בעולם ● מקור מרבית ההתקפות הוא הולנד, ולאחריהן ארצות הברית, סין, רוסיה וצרפת
אירופה סופגת יותר התקפות סייבר מתוך גבולותיה לעומת התקפות מכל מקום אחר בעולם, כך על פי ניתוח שבוצע על ידי F5 Labs. המחקר בחן את תעבורת התקפות שמוקדו בכתובות IP אירופיות בין דצמבר 2018 למרץ 2019, תוך השוואת המגמות עם ארצות הברית, קנדה ואוסטרליה.
מהניתוח עולה כי הולנד הייתה המדינה התוקפת המובילה בהתקפות בתוך אירופה ולאחריה: ארצות הברית, סין, רוסיה, צרפת, אירן, וייטנאם, קנדה, הודו ואינדונזיה. הולנד שיגרה פי 1.5 יותר התקפות כנגד מערכות אירופיות, לעומת ארצות הברית וסין יחדיו – ופי 6 יותר לעומת אינדונזיה.
הניתוח מצביע כי התוקפים המובילים הם רשתות אוטונומיות (ASNs) וספקי שירותי אינטרנט (ISPs). כך, הרשת ההולנדית של HostPlace Web Solutions (המכונה ASN 133229) שיגרה את המספר הרב ביותר של התקפות, ולאחריה Online SAS (המכונה ASN 12876) הצרפתית. לאחריהן NForce Entertainment (המכונה ASN43350), גם היא מהולנד. כל השלוש הן ספקיות אחסון אתרים (web hosting), שהרשתות שלהם מופיעות באופן קבוע ברשימת F5 Labs של שחקניות האיומים המובילות מקרב הרשתות.
72% מכל רשתות ה-ASN שנרשמו הם ספקיות שירותי אינטרנט. 28% הן ספקיות אחסון אתרים. אנשי F5 Labs זיהו את 50 כתובות ה-IP המובילות בתקיפת מטרות באירופה. החוקרים ממליצים שארגונים יבדקו את הלוגים של הרשת שלהם לקישורים מאותן כתובות IP. באופן דומה, אלה שבבעלותם רשתות, צריכים לחקור את כתובות ה-IP שעלולות להיות מנוצלות.
חוקרי F5 ממליצים לארגונים להריץ סריקות חיצוניות לפגיעויות באופן מתמיד, על מנת לגלות אילו מערכות נחשפו ציבורית ובאילו פורטים ספציפיים. "כל המערכות שנחשפות ציבורית לפתיחת הפורטים המותקפים ביותר, צריכות להיות בראש סדר העדיפות לכיבוי הפיירוול (דוגמת פורט 445 של Microsoft Samba או פורטים 3306 ו- 1433 של SQL) או לניהול פגיעויות", כתבו החוקרים, "בנוסף, יישומי ווב שלוקחים טראפיק בפורט 80 צריכים להיות מוגנים עם WAF, להיות תחת סריקה מתמדת לפגיעויות ולהיות בראש סדר העדיפות לניהול הפגיעויות, כולל תיקוני באגים וטלאי אבטחה. בנוסף, רבות מההתקפות בפורטים התומכים בשירותי גישה, כמו SSH, הינן מסוג brute force8 (כוח גס), כך שלכל דף login חייבת להיות הגנה מפני brute force".
"לסרוק את הלוגים של הרשת כדי למצוא קישורים לכתובות ה-IP התוקפות",
"מנהלי רשתות ומהנדסי אבטחת מידע צריכים לסרוק את הלוגים של הרשת כדי למצוא קישורים לכתובות ה-IP התוקפות", אמרה שרה בודי, מנהלת מחקר האיומים ב-F5 Labs, "אם אתם נמצאים תחת מתקפות מכל אחת מכתובות ה-IP המובילות הללו, אתם צריכים להגיש תלונות לבעלי רשתות ה-ASN ולספקי שירותי האינטרנט – על ניצול, על מנת שהם יכבו את המערכות התוקפות".
לדברי בודי, "כשמדובר בחסימת IP, זה יכול להיות מסובך וכך גם לחסום כתובות IP שמציעות שירותי אינטרנט למשתמשים שיכולים להיות לקוחות. במקרים אלה, המערכת התוקפת עשויה להיות התקן IoT שהודבק, שהמשתמשים לא יודעים שהודבק, והוא כנראה לא יוכל להתנקות".
"חסימת תעבורה מכל רשתות ה- ASNs או כלל ספקי שירותי האינטרנט יכולה להיות בעייתית מאותה סיבה: חסימת כלל הרשת תעצור את הלקוחות שלהם מביצוע עסקים אתכם", סיכמה, "זאת, אלא אם כן מדובר בספק שירותי אינטרנט שתומך במדינה שאינכם עושים איתה עסקים. במקרה זה, חסימה גיאוגרפית ברמת המדינה יכולה להיות אפקטיבית, כדי לחתוך חלק נכבד מתעבורת ההתקפות ולשמור על המערכות שלכם. מסיבה זאת, הכי טוב להוריד תעבורה בהתבסס על דפוסי התקפה ברשת שלכם ו-WAF".
תגובות
(0)