È da quando sono stati inventati gli indirizzi IP che i cybercriminali hanno iniziato a manipolarne i sorgenti. Molti dei metodi adottati in passato per nascondere gli indirizzi IP come, ad esempio, intervenire sull’origine dell’indirizzo IP, sono stati bloccati dalle raccomandazioni BCP38 riguardo al solo routing del traffico di rete per le reti aziendali e i clienti.
BCP38: cosa è cambiato in 25 anni?
Certo è che nel corso di quasi 25 anni, rispetto a quando è stato pubblicato il BCP38, i sistemi di rilevazione sono notevolmente migliorati. Tuttavia esistono ancora molti modi per offuscare l’indirizzo IP sorgente dei dispositivi che effettuano gli attacchi: può essere fatto utilizzando Tor, un proxy Web o la traduzione di un indirizzo di rete.
È importante notare, inoltre, che i proxy Web possono essere usati per migliorare la sicurezza di un sistema filtrando il traffico crittografato dannoso che passa attraverso il proxy Web non crittografato.
I Proxy Web forniscono anche un certo livello di anonimato per un utente legittimo. Tuttavia, i proxy Web possono essere utilizzati con un impatto negativo sulla privacy, ma questa è un’altra storia.
Bloccare gli indirizzi IP o i proxy Web non è una risposta che si possa definire come scalabile. Il monitoraggio crescente dei singoli indirizzi IP che possono essere sospetti potrebbe aiutare a identificare un attacco in corso, riconoscendo anche quali sistemi possano essere stati compromessi.
Ci sono diversi modi per proteggere gli endpoint
Le imprese possono anche iscriversi a un servizio di black list oppure a un servizio di intelligence che offre aggiornamenti costanti sugli attacchi, garantendo in questo modo la sicurezza rispetto agli indirizzi IP bloccati e ai proxy non approvati.
Anche questa, però, non è una buona strategia perché in ogni caso, bloccando alla fonte l’endpoint, si vanno a bloccare anche i servizi ai clienti che sono legittimi.
A seconda di come si desidera inibire i collegamenti dannosi, si potrebbe migliorare il processo di autenticazione utilizzato per convalidare le connessioni legittime o, ancora, mettere un proxy Web (o un’applicazione Web firewall) davanti alle applicazioni Web per filtrare le connessioni che non vengono autenticate per l’applicazione Web di destinazione.
Un’altra strategia di sicurezza suggerita dagli esperti è quella di creare una white list di clienti del network riconosciuti e autenticati a cui consentire l’accesso alle applicazioni Web.