Podziemne usługi hostingowe: jak je wykryć i odebrać zyski hakerom?

Przeczytaj także: 3 mity dotyczące cyberbezpieczeństwa w MŚP

Obserwacja i korelowanie zagrożeń

BPH, czyli z angielskiego bulletproof hosters, to oferowane przez cyberprzestępców usługi hostingowe. Jak wyjaśnia Trend Micro, stanowią one korzenie cyberprzestępczej infrastruktury. Działaniu ich dostawców nie można odmówić ani profesjonalizmu, ani też elastyczności. Do tego podziemny hosting okazuje się być wyjątkowo wręcz odporny na działania mające na celu jego unieszkodliwienie.

Dojrzałe przedsiębiorstwa coraz częściej korzystają z funkcji SOC i XDR, co oznacza, że ich działy cyberbezpieczeństwa angażują się również w czynności dochodzeniowe w sprawie incydentów – powiedział Robert McArdle, dyrektor ds. badań i prognoz zagrożeń w firmie Trend Micro. – Na tym poziomie zaawansowania konieczne jest poznanie sposobu działania przestępców i stosowanie strategicznych środków ochrony. Mamy nadzieję, że nasz raport pozwoli przedsiębiorstwom lepiej zrozumieć, jak działają cyberprzestępcy, oraz efektywnie wykorzystać tę wiedzę i zmniejszyć zyski podziemnych dostawców usług hostingowych – dodaje.

Jak odebrać zyski z podziemnych usług hostingowych?

Jak wskazują analitycy Trend Micro, w codziennej działalności przedsiębiorstw ważne są efektywne metody wykrywania podziemnych dostawców usług hostingowych – na przykład poprzez:

• Określenie zakresów adresów IP, które znajdują się na publicznych czarnych listach i powiązane są z dużą liczbą nadużyć, co może wskazywać na obecność dostawców BPH.
• Analizę wzorców zachowań i informacji o wymianie ruchu między operatorami (ang. peering) w systemach autonomicznych w celu oznaczenia działań, które mogą być powiązane z dostawcami BPH.
• Po wykryciu jednego hosta BPH wykonanie jego szczegółowej analizy w celu wykrycia innych hostów które mogą być z nim powiązane.

Trend Micro w swoim raporcie wymienia również metody, którymi mogą się posłużyć organy ścigania i przedsiębiorstwa, aby walczyć z podziemnymi usługami hostingowymi bez konieczności wskazywania lub zajmowania ich serwerów. Za jedne z najważniejszych uznano:

• Wysyłanie należycie udokumentowanych zgłoszeń o nadużyciach do podejrzanego podziemnego dostawcy usług hostingowych i podmiotów równorzędnych na dalszych odcinkach łańcucha.
• Dodawanie podsieci powiązanych z BPH do czarnej listy adresów IP z którymi komunikacja jest blokowana.
• Zwiększenie kosztów operacyjnych dostawców BPH w celu zakłócenia ich stabilności biznesowej.
• Osłabienie reputacji dostawców BPH w cyberprzestępczym podziemiu np. poprzez podszywanie się pod klientów, którzy kwestionują bezpieczeństwo takich dostawców lub informują o ich możliwej współpracy z organami ścigania.