La threat intelligence et le renseignement de sources ouvertes (OSINT) reposent sur une seule chose : voir ce que l’adversaire fait réellement. Les analystes enquêtent sur des pages de phishing, cartographient l’infrastructure de commande et contrôle (C2) des malwares, surveillent les marchés clandestins à la recherche d’identifiants fuités, et pistent les domaines d’usurpation de marque qui imitent leur entreprise. Mais l’infrastructure malveillante moderne est conçue pour ne pas être vue par ceux-là mêmes qui l’enquêtent, et cela transforme la collecte en un problème d’accès qui atterrit en plein sur la couche proxy.
Les attaquants dissimulent leurs payloads (cloaking), pratiquent le geo-fencing de leurs campagnes, et prennent l’empreinte des connexions entrantes pour repérer les chercheurs. Enquêtez depuis une plage d’IP d’entreprise ou une adresse de datacenter, et vous verrez souvent une page leurre inoffensive, un blocage, ou rien du tout, jamais la vraie menace à laquelle une victime ferait face. C’est là qu’interviennent les proxys résidentiels : ils laissent une équipe de sécurité observer les menaces exactement comme le ferait un utilisateur local ordinaire, ce qui est la seule façon de capturer ce qui est réellement servi.
Ce qu’impliquent la threat intelligence et la collecte OSINT
En son cœur, cette discipline consiste à observer et enregistrer systématiquement l’activité de l’adversaire à travers le web ouvert et semi-ouvert. Les équipes de sécurité et de fraude l’utilisent pour :
- Détecter le phishing et l’usurpation de marque — trouver les pages qui imitent votre marque, récupérer leurs kits, et confirmer ce qu’elles servent réellement aux victimes.
- Analyser les malwares et l’infrastructure C2 — atteindre en toute sécurité des hôtes contrôlés par les attaquants pour comprendre les payloads, le staging, et les canaux de commande.
- Enquêter sur la fraude et les arnaques — observer les vitrines frauduleuses, les fausses pages de support, et les appâts basés sur des publicités tels qu’un utilisateur ciblé les voit.
- Surveiller l’exposition — surveiller les marchés, forums, et sites de pastes à la recherche d’identifiants fuités, de données, et de mentions de votre organisation.
- Cartographier l’infrastructure des acteurs de menace — corréler domaines, hôtes, et campagnes dans le temps pour comprendre qui vise qui.
Tout cela dépend de capturer ce qui est réellement servi à une cible réelle. Et ce qui est servi dépend entièrement de qui l’infrastructure pense être en train de frapper à la porte.
Pourquoi c’est un problème de proxy
Trois propriétés de l’infrastructure malveillante moderne transforment la collecte de menaces en un problème de collecte de données qui atterrit en plein sur la couche proxy.
L’infrastructure malveillante pratique le cloaking. Les kits de phishing et les landing pages de malware servent couramment un contenu bénin et d’apparence innocente aux plages d’IP qu’ils associent aux fournisseurs de sécurité, aux fournisseurs cloud, et aux datacenters, et ne révèlent le vrai payload qu’aux IP résidentielles de la géographie ciblée. Venez d’une adresse de datacenter et vous capturez le leurre, pas la menace. (La même mécanique de détection qui bloque les scrapers s’applique ici ; voir pourquoi les scrapers se font bloquer.)
Les menaces sont geo-fenced. Une campagne de phishing visant les clients bancaires allemands peut ne se déclencher que pour les IP résidentielles allemandes ; une arnaque visant les acheteurs américains reste sombre partout ailleurs. Si toute votre collecte part d’un seul endroit, vous voyez les menaces d’une région et restez aveugle aux campagnes visant vos autres marchés. Voir ce que voit une victime ciblée exige d’observer depuis l’emplacement de cette victime. (Quand le ciblage au niveau de la ville compte s’applique aussi aux campagnes régionales.)
L’attribution et l’échelle comptent toutes deux. Atteindre l’infrastructure de l’adversaire depuis votre plage d’IP d’entreprise peut alerter l’acteur, qui cloake alors plus fort, vous nourrit de désinformation, ou démonte la campagne avant que vous ne l’ayez capturée. Et surveiller de nombreux domaines, marchés, et sources en continu, ce sont beaucoup de requêtes ; depuis une poignée d’IP vous déclenchez des rate limits et obtenez une image partielle et biaisée, en manquant justement les sources bien défendues et à forte valeur.
Le correctif pour les trois est le même : observer depuis des IP qui ressemblent à de vrais utilisateurs locaux, dans les régions dont vous avez besoin, sans lien traçable vers votre organisation.
Où s’inscrivent les proxys résidentiels
Un proxy résidentiel fait passer vos requêtes de collecte par de vraies IP grand public, donc l’infrastructure malveillante vous répond comme elle répondrait à une vraie cible locale. Pour la threat intelligence et l’OSINT spécifiquement, cela débloque plusieurs choses à la fois :
Voir la vraie menace, pas le leurre. Parce que les IP résidentielles portent la confiance d’un vrai utilisateur, vous déjouez le cloaking qui cache les payloads aux fournisseurs de sécurité, et capturez la page, le kit, ou l’appât réels qu’une victime recevrait. C’est la différence entre du renseignement sur lequel vous pouvez agir et un faux négatif d’apparence inoffensive.
Enquêter sans exposer votre organisation. Faire passer le trafic par des IP résidentielles sans rapport empêche l’activité de vos analystes d’être trivialement rattachée à vos plages d’entreprise, donc vous pouvez observer l’infrastructure de l’adversaire sans alerter l’acteur. Un proxy change l’IP d’où part une requête, donnant aux enquêteurs un point d’observation propre.
Couvrir chaque marché ciblé. Avec le geo-targeting jusqu’au pays et à la ville, vous pouvez observer une campagne en tant qu’utilisateur dans chaque région qu’elle vise, attrapant le phishing et les arnaques geo-fenced visant des marchés que votre unique emplacement de bureau ne ferait jamais remonter.
Surveiller de façon complète et continue. Un grand pool rotatif répartit les requêtes pour que vous puissiez surveiller de nombreux domaines et sources dans le temps sans être bloqué ni limité, gardant votre surveillance d’exposition et d’usurpation de marque complète plutôt que fragmentaire. (Les mêmes principes de qualité de collecte que dans proxys résidentiels pour la collecte de données s’appliquent.)
En clair : les proxys résidentiels transforment « le leurre sûr que l’infrastructure a décidé de nous montrer » en « la vraie menace à laquelle nos utilisateurs feraient face, partout où elle vise ». (Pour savoir pourquoi le résidentiel bat le datacenter à cet usage, voir proxys résidentiels vs datacenter.)
Comment ça marche
Sur le gateway Shifter, vous choisissez un point d’observation en l’encodant dans le nom d’utilisateur du proxy, un point de terminaison, pas de listes d’IP à gérer :
# Observer une page de phishing suspecte en tant qu'utilisateur en Allemagnecurl -x customer-USERNAME-country-de:PASSWORD@p.shifter.io:443 https://suspected-infrastructure.example
# Restreindre à une ville quand la campagne est geo-fenced régionalementcurl -x customer-USERNAME-country-us-city-chicago:PASSWORD@p.shifter.io:443 https://suspected-infrastructure.exampleTournez dans le pool pour une surveillance large et continue, ou gardez une session sticky quand une enquête a besoin d’une identité cohérente à travers un flux à plusieurs étapes. Même gateway, ciblage différent par requête, alimentant n’importe quel pipeline d’analyse ou de gestion de cas que votre équipe fait tourner. Parce que la réputation d’IP façonne ce qui vous est servi, comprendre la réputation d’IP aide à lire correctement les résultats.
L’utiliser de façon responsable
La threat intelligence est un travail de sécurité défensive, et elle doit rester du bon côté de la ligne. N’utilisez les proxys que pour une enquête autorisée : votre propre marque et infrastructure, les menaces visant votre organisation, ou les missions que vous êtes mandaté pour mener. Observez du contenu public, respectez les limites légales et les conditions de chaque source, n’interagissez pas avec l’infrastructure et ne la perturbez pas au-delà de l’observation passive, et acheminez tout ce qui est sensible via vos équipes juridique et de réponse aux incidents. Un proxy change l’IP d’où part une requête, pas le fait que vous soyez autorisé à la faire ; notre politique d’usage acceptable est la source de vérité pour ce qui est permis sur Shifter, et elle interdit purement et simplement l’activité illégale.
FAQ
Pourquoi ai-je besoin de proxys résidentiels pour la threat intelligence ? Parce que l’infrastructure malveillante pratique le cloaking et le geo-fencing. Elle sert un contenu leurre inoffensif aux IP de datacenter et de fournisseurs de sécurité et ne révèle le vrai payload qu’aux IP résidentielles de la région ciblée. Les proxys résidentiels vous font ressembler à une vraie cible locale, donc vous capturez la vraie menace au lieu du leurre.
Comment les proxys aident-ils pour l’attribution et la sécurité opérationnelle ? Atteindre l’infrastructure de l’adversaire depuis votre plage d’IP d’entreprise peut rattacher l’enquête à votre organisation et alerter l’acteur. Faire passer le trafic par des IP résidentielles sans rapport donne aux analystes un point d’observation propre pour observer sans exposer qui regarde.
Ne puis-je pas simplement enquêter depuis ma propre connexion ? Vous verrez la version d’une menace pour un seul endroit, risquerez d’exposer votre organisation, et l’infrastructure à cloaking vous servira des leurres. Les campagnes geo-fenced visant d’autres marchés restent invisibles, et les sources défendues limiteront ou bloqueront une IP unique.
Proxys résidentiels ou datacenter pour l’OSINT ? Résidentiels. L’infrastructure à cloaking filtre spécifiquement les plages d’IP de datacenter, donc le datacenter vous donne le leurre ou un blocage. Les IP résidentielles voient le contenu réel et géo-précis qu’un utilisateur ciblé verrait.
Est-ce légal ? La threat intelligence et l’OSINT qui travaillent avec des données publiques, à des fins défensives autorisées, sont largement légitimes, mais la portée et la légalité dépendent de la juridiction et de ce que vous touchez. Un proxy ne change pas la légalité de l’activité sous-jacente. Tenez-vous-en à l’enquête autorisée et obtenez un conseil juridique pour tout ce qui est incertain.
En résumé
La threat intelligence ne vaut que par les menaces que vous pouvez réellement voir, et l’infrastructure adverse moderne est conçue pour se cacher de ceux qui l’enquêtent. Parce que les pages malveillantes pratiquent le cloaking, le geo-fencing, et l’empreinte des connexions entrantes, vous devez les observer en tant que vraie cible locale, depuis un point d’observation qui n’expose pas votre organisation, ce qui est exactement ce que fournissent les proxys résidentiels : le vrai payload au lieu du leurre, une couverture régionale complète, une attribution propre, et une surveillance continue sans être bloqué.
Si votre équipe de sécurité, de fraude, ou de protection de marque fait de la threat intelligence ou de l’OSINT, un réseau de proxys résidentiels de qualité est ce qui rend l’image précise plutôt qu’un faux négatif. La qualité du pool décide de la quantité de cloaking que vous déjouez, alors il vaut la peine de comprendre ce qu’est vraiment une IP résidentielle en évaluant. La page tarifs propose les forfaits au Go pour l’essayer contre les menaces et régions qui vous importent.