Bloķēšanas saraksti: kāpēc dators saka nē?
Esmu pārliecināts, ka daudzi no jums ir pazīstami ar frāzi “Dators saka nē”, kas nāk no izcilā britu skeču komēdijšova “Little Britain”. Šī frāze ir kļuvusi plaši izmantota, lai kritizētu organizācijas, kas paļaujas uz datorā glabātu vai ģenerētu informāciju, lai pieņemtu patvaļīgus lēmumus par klientu pieprasījumiem, dažkārt nesaprotamā veidā. Šodien rakstīšu par bloķēšanas sarakstiem – galveno tehnoloģiju, kas visā pasaulē ir pamatā milzīgam skaitam datorizētu atteikumu, kas katru dienu liedz miljardiem mijiedarbību.
Info
Termins “melnā saraksts” radies 17. gadsimtā, kad tas sāka apzīmēt nevēlamu personu, ienaidnieku, citādi domājošo vai sodāmu/izslēdzamu cilvēku sarakstus. Pretstats melnajam sarakstam ir baltā saraksts, kurā iekļauti uzticami cilvēki vai subjekti. 21. gadsimtā šie termini kļūst novecojuši un tos aizstāj ar bloķēšanas un atļaušanas sarakstiem, kurus arī lietošu turpmāk.
Kiberdrošībā bloķēšanas saraksti ir visur
Kiberdrošībā bloķēšanas saraksti ir visuresoši. Padomājiet par jebkuru būtisku interneta tehnoloģiju, kurai nepieciešama aizsardzība pret draudiem, un varat būt droši, ka pastāv risinājumi, kas izmanto bloķēšanas sarakstu aizsardzību, piemēram:
a) TCP/IP tīklošana (ugunsmūri, IDS/IPS, DDoS kontrole)
b) Domēna vārdu sistēma (RPZ, DNSBL, “sinkholes”)
c) Pasaules tīmeklis (WAF, URL filtrēšana, botu pārvaldība)
d) E-pasts (surogātpasta filtri, sūtītāja reputācija)
e) Identitāte un autentifikācija (nopludinātu vai vājo paroļu bloķēšanas saraksti).
Bloķēšanas sarakstam nepieciešama uzturēšanas autoritāte, piemēram, autors vai sastādītājs. Tā ir persona vai organizācija, kas pievieno jaunus ierakstus sarakstam un pārvalda tā integritāti. Mājas tīklā vai “homelab” tas var būt indivīds, bet tas var būt arī kopiena, valsts iestāde vai uzņēmums. Ieraksti bloķēšanas sarakstā parasti kalpo kā ļaunprātīgas aktivitātes indikatori, aptverot dažādus elementus, piemēram, IP adreses, domēnus, URL, failu kontrolsummas un kontu ID u.c.
Bloķēšanas saraksts aizsargā
Motivācija veidot bloķēšanas sarakstu var atšķirties. Tomēr vairumā gadījumu mērķis ir aizsargāt vērtīgus resursus vai pakalpojumus no zināmiem ļaunprātīgiem dalībniekiem, samazinot pakļautību zināmai ļaunprātīgai infrastruktūrai vai uzvedībai. Daudzi saraksti tiek veidoti un izmantoti šaurā kontekstā, piemēram, vienā organizācijā vai uzņēmumā, bet citi tiek apkopoti no kopienas iesniegumiem, “honeypot” sistēmām, telemetrijas un partneru plūsmām no tūkstošiem avotu. Šādi saraksti var tikt plaši izplatīti un izmantoti miljoniem lietotāju.
Pēdējos parasti uztur uzņēmums vai kopiena, jo šāda veida sarakstiem nepieciešama ievērojama uzturēšanas piepūle. Lai uzturētu efektīvu sarakstu, jāņem vērā daudzi faktori:
a) datu izcelsme un saraksta autentiskuma pārvaldība
b) kritēriji ierakstu iekļaušanai un izslēgšanai
c) ierakstu derīguma termiņš un to izņemšanas process
d) saraksta izplatīšana un atjaunināšanas biežums
e) kvalitātes un novērojamības rādītāji
f) lietotāju atbalsts.
Pēdējais ir būtisks, jo kļūdaini pozitīvi gadījumi var būt dārgi – atbildīgi uzturētāji publicē skaidrus kritērijus, nodrošina apelācijas/izņemšanas procesus, atbalsta lokālus atļaušanas saraksta izņēmumus un dod priekšroku ierakstiem ar termiņu un pakāpenisku noņemšanu.
Daži labi zināmi bloķēšanas saraksti
| Kategorija | Piemēra bloķēšanas saraksts | Ko tas bloķē / atzīmē | Kā izmantot |
|---|---|---|---|
| E-pasts & DNSBL | Spamhaus ZEN / DBL | IP un domēni ar sliktu e-pasta reputāciju (savienojuma & satura līmenī) | DNS vaicājumi (DNSBL/RHSBL); apvienot caur ZEN |
| SURBL / URIBL | Domēni/URI, kas redzēti surogātpasta saturā (balstīts uz URI) | DNS vaicājumi; arī RPZ/plūsmas caur piegādātājiem | |
| Uzbrukumi & ļaunprātīgi URL | abuse.ch URLhaus | Aktīvi ļaunprogrammatūru izplatīšanas URL, kopienas ziņoti | Masveida lejupielādes & API |
| OpenPhish | Aktīvi pikšķerēšanas URL un saistītā informācija | Teksta/CSV/JSON plūsmas | |
| IP reputācija / uzbrukumu avoti | SANS ISC DShield | Agresīvi avoti (/24, hosti) no globāliem sensoriem | Vienkārši teksta bloķēšanas saraksti; dalībnieku plūsmas |
| FireHOL IP bloķēšanas saraksti | Apkopoti daudzu publisku IP sarakstu apvienojumi | Teksta IP saraksti (piemēroti ipset), automātiski atjaunināmi | |
| Ļaunprātīga infrastruktūra, kontrolsummas & TLS | abuse.ch SSLBL | Ļaunprātīgu TLS sertifikātu pirkstu nospiedumi & JA3 klientu pirkstu nospiedumi | CSV/RPZ; bieža atjaunošana |
| Feodo Tracker | Botnetu C2 IP (piem., Dridex/Emotet/QakBot) | Vienkārši teksta/JSON bloķēšanas saraksti | |
| Paroļu bloķēšanas saraksti | Pwned Passwords (HIBP) | Nopludinātu paroļu kopums reģistrācijas/pieslēgšanās bloķēšanai | k-anonimitātes API vai lejupielādējamas kontrolsummas |
| NCSC “Top 100k” | Visbiežāk lietotās/uzlauztās paroles (vietējiem aizliegumiem) | Importēt teksta sarakstu paroļu politikas rīkā | |
| Patērētāju reklāmu/izsekošanas bloķēšana | EasyList / EasyPrivacy | Reklāmu & izsekošanas filtru noteikumi, ko izmanto galvenie bloķētāji | Pierakstīties uBlock/Adblock/AdGuard |
| Steven Black apvienotais hosts | Apkopoti hosts-faila bloķējumi reklāmām/ļaunprogrammatūrām/izsekošanai | Aizvietot/apvienot sistēmas hosts failu (ir automātiskas atjaunināšanas iespējas) |
Biznesa modeļi un licencēšana
Lielu daļu bloķēšanas sarakstu var izmantot bez maksas, un tos finansē ziedojumi, sponsori, granti vai darba devēju laiks, taču daļai ir arī biznesa modelis. Daži saraksti piedāvā “freemium” versiju, kur publiskās/aizkavētās vai kopsavilkuma plūsmas ir bez maksas, bet reāllaika, detalizētāki vai vēsturiskie dati ir par maksu.
Bloķēšanas saraksti kā pakalpojums tiek piedāvāti par maksu atkarībā no organizācijas/caurlaides/sensoru skaita, augstākos līmeņos pievienojot SLA, atbalstu, integrācijas palīdzību vai privātas plūsmas. Uzturētāji arī licencē savas plūsmas drošības piegādātājiem, kas tās iekļauj savos pakalpojumos vai produktos, piemēram, ugunsmūros, novērojamības rīkos u.c.
Vispretrunīgākais biznesa modelis bloķēšanas sarakstam ir izņemšanas pārdošana kā pakalpojums, piedāvājot apmaksātu tūlītēju izņemšanu; pretējā gadījumā jāgaida termiņa beigas. Maksa par izņemšanu var radīt uzticības konfliktu sajūtu un nav raksturīga labi atzītiem uzturētājiem. Iekļaušana lielā bloķēšanas sarakstā var būtiski pasliktināt organizācijas spēju sasniegt lietotājus vai klientus internetā.
E-pasts kā piemērs, ko saprot visi
E-pasts ir saprotams piemērs; lielie pastkastes nodrošinātāji un platformas (piemēram, Microsoft, Google) bieži iekļauj trešo pušu un savas reputācijas sistēmas e-pasta piegādes plūsmā. Iekļautas IP vai domēna piegāde var strauji pasliktināties, un e-pasti nonākt surogātpasta mapēs, pat ja pilnīga bloķēšana nav universāla. Sliktākajā gadījumā e-pasti no bloķēta avota var tikt klusi izmesti un nekad nenonākt pie adresāta. Tāpat daudzi uzņēmumu drošības produkti (piemēram, Cisco vai Fortinet) var izmantot ārējās reputācijas plūsmas, kas nozīmē, ka uzņēmumi var zaudēt kontaktu ar lielākajiem partneriem vai klientiem, riskējot ar tiešiem finansiāliem zaudējumiem.
Efekts bieži ir vēl sliktāks koplietojamas infrastruktūras (mākoņpakalpojumu vai hostinga) sniedzējiem, piemēram, Zone, kur viena lietotāja rīcība var ietekmēt daudzus nomniekus vai klientus. Tāpēc mēs ļoti nopietni uztveram mūsu tīkla resursu – IP adrešu telpas, apakštīklu un domēnu – reputāciju. Attiecīgi klientu rīcība vai bezdarbība, kas noved pie trešo pušu bloķēšanas sarakstiem pret mūsu resursiem, ir mūsu Piekļūstamības politikas (AUP) pārkāpums.
Esmu izstrādājuši un ieviesuši vairākus novērojamības rīkus, lai atklātu un paziņotu mums un mūsu klientiem par darbībām mūsu infrastruktūrā, kas var izraisīt klientu vai resursu iekļaušanu bloķēšanas sarakstos. Ja iespējams, palīdzam klientiem ar agrīnu atklāšanu, cēloņu analīzi un apelācijas procesiem, lai paātrinātu izņemšanu. Atkārtota vai apzināta ļaunprātīga izmantošana joprojām var novest pie pakalpojumu ierobežojumiem vai pārtraukšanas saskaņā ar AUP.
Bloķēšanas saraksti ir vērtīgs resurss, jo tie ir efektīvs drošības līdzeklis kiberdrošības risku pārvaldībai. Bloķēšanas sarakstu ieviešana jāuzskata par neatņemamu jebkuras organizācijas kiberdrošības rīku komplekta daļu, taču tie prasa rūpīgu izvērtēšanu.
Populāri ieraksti
.NO domēns tagad pieejams Zone – vai jūsu uzņēmums ir gatavs Norvēģijas tirgum?
Zone Webmail 3.0: Jaunas funkcijas, kas padara e-pasta pārvaldību vieglāku nekā jebkad agrāk
Vai joprojām esat sava domēna likumīgais īpašnieks? ICANN jaunais noteikums – laiks pārbaudīt vēlreiz
