Post #313

Нас ежедневно атакуют 10 миллионов раз Такие заголовки откровенно раздражают специалистов, но мы хотим объяснить откуда вообще берутся эти заявления. Чаще всего о "миллионах" атак говорят люди, которые очень далеки от ИБ и которые хотят произвести некое впечатление на аудиторию. Которая, зачастую, тоже далекая от ИБ и легко представляет, как "тысячи хакеров" трудятся чтобы атаковать кого-то в течении одного дня. А что же на самом деле? Зачастую это просто выгрузка количества инцидентов и срабатываний средств защиты на внешнем периметре компании. Значительная часть которых - это по-сути фоновый шум. Ежесекундно каждый узел в Интернете автоматизировано сканируется с совершенно разными целями. И каждый запрос сканера любят считать и называть "атакой". Отсюда и совершенно неадекватные цифры количества "атак". А какие вообще бывают сканы? 1. Сканирование портов. По сути инвентаризация всех сервисов/приложений, которые доступны из Интернета. В чистом виде - не несет злонамеренного подтекста и уголовно не наказуема. 2. Сканирование на уязвимости. Поиск уязвимостей у доступных из Интернета сервисов. Многие проверки подразумевают отправку пакетов, которые можно однозначно определить как "атака", поэтому обычно подобное сканирование считается уголовно наказуемым. Прецеденты уголовного преследования за такое в РФ были, результаты - условный срок по 272 УК РФ. Но зав. кафедры, у которого я учился, рассказывал нам шикарную аналогию: 1. Сканирование на уязвимости - похоже на попытку взломать дверь отмычкой, уголовно наказуемо. 2. Сканирование портов - похоже на то, что вы стоите у двери и смотрите через замочную скважину. Наказать за это не могут, но иногда могут за это спустить с лестницы. А кто сканирует ваш сервер? 1. Злоумышленники - с понятными всеми целями. Количество атак обычно зависит от вашей платежеспособности. 2. Баг хантеры, исследователи уязвимостей - в попытке найти уязвимость и попросить за нее вознаграждение, если такое предлагается или попробовать если компания такое не предлагает. Количество — см. пункт 1. 3. Сервисы мониторинга Интернета - для актуализации своих баз. Они монетизируют поиск по этим базам, упрощают жизнь многим исследователям/компаниям. Их активность наиболее выражена, это самая часто встречающаяся категория. 4. Любопытные студенты - которые пишут курсовую по сканированию интернета, или делают свой домашний проект. Редки. 5. Невнимательные люди - которые просто ошиблись с маской/адресом и случайно запустили скане не туда! В целом, бывают, но их доля в сравнении с роботами невелика. Поэтому называть атакой такое количество постоянный автоматизированной фоновой активности у специалистов просто язык не поворачивается. Да и не в количестве дело — действия одной грамотной команды злоумышленников гораздо опаснее, чем "миллионы" сканирований внешнего периметра.