Un nuovo modo per individuare le infrastrutture pericolose

DomainTools, si occupa da sempre, di aiutare i difensori, i soccorritori e altri professionisti di infosec a individuare e caratterizzare le infrastrutture online pericolose, ed oggi sono lieti di condividere alcuni dettagli su due nuove offerte, che aiuteranno in questo: IP Hotlist e Hosting IP Risk Feed.

Questa non è la loro prima incursione nel risk scoring, ovviamente; il Domain Risk Score è in produzione da diversi anni e viene utilizzato da team di tutto il mondo per qualsiasi cosa, dalla valutazione degli avvisi, alle liste di blocco della sicurezza della rete, fino alla guida alle indagini. Non appena hanno rilasciato il Domain Risk Score (beh, tecnicamente, anche prima di rilasciarlo!), hanno ricevuto una domanda molto logica: è possibile fare la stessa cosa per gli indirizzi IP?

Ora la risposta è “sì”, con l’importante condizione che la lente attraverso la quale valutano gli indirizzi IP siano i domini ospitati su di essi (quindi, ad esempio, questi prodotti non sono progettati per catturare indirizzi IP residenziali che vengono reclutati nelle botnet). Diamo un’occhiata a cosa sono questi due prodotti correlati al rischio IP ma diversi tra loro.

Hotlist IP

Dalla prevenzione al rilevamento e alla mitigazione, molte tecnologie di sicurezza in tutto lo spettro si concentrano sull’indirizzo IP come oggetto per la creazione delle regole. Se stai utilizzando quel tipo di attrezzatura, e se sei un professionista di infosec (sicuramente lo sei), hai bisogno di dati affidabili su cui costruire regole di blocco o rilevamento per gli indirizzi IP. La Hotlist IP è progettata per identificare la popolazione più rischiosa di indirizzi IP di hosting. Due criteri principali definiscono questo elenco: la percentuale di domini dannosi noti ospitati e previsti, e il livello di traffico che l’indirizzo sta ricevendo (in particolare per i domini ad alto rischio), commisurato alla raccolta Passive DNS a livello di Internet. La Hotlist è un database ideale per l’elenco dei blocchi ad alta affidabilità e le regole di rilevamento. La dimensione tipica della hotlist è compresa tra 40.000 e 60.000 indirizzi IP.

Cosa determina il modo in cui un indirizzo IP viene inserito nella Hotlist? Quello a cui DomainTools vuole arrivare, sono quei domini che sono sia ostili che attivi. Ci sono molte infrastrutture ostili ma dormienti là fuori. Sebbene sia ancora importante sapere, da un punto di vista investigativo, i più critici “devo-preoccuparmi-di-questo” IP, sono quelli che sono controllati da attori malintenzionati e stanno ricevendo traffico, presumibilmente dagli ambienti della vittima. In DomainTools sono particolarmente orgogliosi della combinazione riuscita del punteggio di rischio e degli eccezionali dati pDNS che ottengono da Farsight Security e dagli altri provider pDNS.

Hosting IP risk feed

Ecco una piccola sbirciatina dietro le quinte di DomainTools: molte discussioni sono state fatte, per capire se avesse senso chiamare questo prodotto “Risk Feed” e non qualcos’altro, perché, a differenza della Hotlist, gli indirizzi IP in questo feed non sono necessariamente rischiosi. L’Hosting IP Risk Feed è un feed giornaliero di tutti gli indirizzi IP trovati ad ospitare almeno un dominio. Quindi, a differenza della Hotlist IP, questo feed include qualsiasi IP che ospita attivamente, indipendentemente dal suo livello di rischio. Ma poiché viene inclusa ancora la percentuale di domini dannosi noti e previsti per ciascun IP nel feed, è stato ritenuto che il suo orientamento fosse basato sulla questione del rischio, da cui il nome. Ma c’è molto di più che solo indirizzi e punteggi di rischio: Hosting IP Risk Feed contiene anche campi di dati dettagliati che arricchiscono l’IP. In definitiva, nessuno è in una posizione migliore di te stesso, per decidere cosa costituisce un rischio elevato nel tuo particolare ambiente, quindi Hosting IP Risk Feed fornisce gli elementi costitutivi per creare un elenco IP altamente personalizzato in base ai propri criteri. Ad esempio, si potrebbe avere un interesse significativo per la geolocalizzazione IP, forse per la propria organizzazione, il traffico verso gli IP in determinate regioni sarà sempre considerato ad alto rischio, indipendentemente da altri criteri. L’Hosting IP Risk Feed consentirà di creare rilevamenti o blocchi basati su questo. O forse si potrebbe voler combinare vari campi, come Paese, ASN, Domain Risk Score, ecc., per le proprie regole. L’ampiezza dei dati nel feed lo rende una semplice questione di scripting contro il feed (che è un semplice file flat).

DomainTools è lieta di presentare questi importanti strumenti nella lotta contro le infrastrutture online ostili, e se desideri saperne di più su IP Hotlist o Hosting IP Risk Feed, contattaci.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI