Angreifer nutzen jede Gelegenheit, um über Aktivitäten wie Phishing, Cross-Site-Scripting usw. in Ihr Netzwerk einzudringen. All diese Aktivitäten zielen darauf ab, mindestens ein einzelnes System in Ihrem Netzwerk zu übernehmen. Sobald sie ein System in Ihrem Netzwerk infiziert haben, versuchen sie im nächsten Schritt, ihre Command-and-Control-Server (C&C) zu kontaktieren.
Wenn Angreifer in Ihr Netzwerk eindringen und versuchen, es zu infizieren, sind böswillige externe IP-Adressen und URLs die offensichtlichsten Kompromittierungsindikatoren (IoCs) in Ihren Protokollen. Sicherheits- und Bedrohungsinformationsagenturen wie AbuseIPDB und RobTex stellen diese IoCs zusammen und pflegen sie, damit Unternehmen sie nutzen können. Sie werden als Blacklists oder Blocklists bezeichnet. Sie können an verschiedenen Punkten in Ihrem Netzwerk angewendet werden, z. B. auf einem Host, einem Web-Proxy, DNS-Servern, E-Mail-Servern, Firewalls, Verzeichnisservern usw.
Diese Listen werden häufig erweitert. Da die erkannten IP-Adressen blockiert werden können, generieren Hacker ständig neue schädliche IP-Adressen. Es ist ratsam, ein System zu haben, das nicht nur IP-Adressen auf der schwarzen Liste in Ihrem Datenverkehr erkennt, sondern auch diese ständig wachsenden schädlichen externen IP-Adressen in Ihrem Netzwerkverkehr schnell identifiziert, und zwar so schnell wie möglich, um Schäden an Ihrem Netzwerk zu verhindern. So können Sie dies tun.
Der externe IP-Indikator für eine Gefährdung wird durch drei Fragen deutlich:
Dies kann durch einen Blick auf Ihre Threat-Intelligence-Plattform beantwortet werden, die möglicherweise die aktualisierten Threat-Feeds enthält.
Eine ASN ist eine Sammlung verbundener Internet Protocol (IP)-Routing-Präfixe, die von einem oder mehreren Netzbetreibern kontrolliert werden. ASNs werden anhand der Gesamtzahl der darin enthaltenen böswilligen IPs und ihrer Verbindung mit der C&C-Malware-Infrastruktur eingestuft. Wenn eine nicht identifizierte externe IP-Adresse mit einer ASN mit hoher Risikobewertung verbunden ist, ist sie höchstwahrscheinlich ebenfalls böswillig.
Wenn eine IP-Adresse zum Subnetz einer anderen identifizierten böswilligen IP-Adresse gehört, ist die Wahrscheinlichkeit hoch, dass sie ebenfalls böswillig ist.
Es ist wichtig, in Ihren Protokollen nach externen IP-IoCs Ausschau zu halten. Log360 von ManageEngine ist eine Komplettlösung, die Unternehmen dabei unterstützt, externe und interne Bedrohungen durch Warnmeldungen, Datensicherheit, Ereigniskorrelation, Bedrohungsinformationen und vieles mehr zu minimieren. Es verfügt über einen integrierten STIX/TAXII-Feeds-Prozessor und eine globale IP-Bedrohungsdatenbank, die bekannten bösartigen Datenverkehr, der durch das Netzwerk fließt, sowie ausgehende Verbindungen zu bösartigen Domains und Rückrufservern sofort erkennen kann. Das Add-on für erweiterte Bedrohungsanalysen bietet tiefere Einblicke in die Bedrohungen. Klicken Sie hier, um mehr zu erfahren.