«Пожалуйста, потише»: что такое интернет-шум и как он влияет на кибербезопасность

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Во времена dial-up под интернет-шумом был тот самый ламповый звук модема, подключающегося к серверу провайдера по телефонной линии. Достаточно было поднять трубку, чтобы услышать, как устройства общаются друг с другом. Шумящие модемы по большей части остались в прошлом, но сегодня интернет-эфир занимает другой вид шума. Его вызывают «блуждающие» в сети пакеты.

/ unsplash.com / Michael Dziedzic
/ unsplash.com / Michael Dziedzic

Откуда берется этот шум

Его источник — софт, сканирующий подключенные к сети устройства. Специализированные утилиты ищут открытые порты, собирают информацию об IP-адресах. Примером может быть поисковая система Shodan. Он позволяет обнаружить в интернете самые разные устройства: от датчиков температуры и смартфонов до систем контроля безопасности банков и крупных корпораций.

Еще в 2003 году объемы подобного трафика в отдельных сетях составляли всего 20 бит/с. К 2010 году фоновый шум для блока IPv4/8 вырос до 50 Мбит/с. Можно предположить, что на сегодняшний день цифра кратно увеличилась.

Пользователи интернет-сканеров преследуют разные цели. Так, глобальную сеть постоянно изучают сотрудники исследовательских институтов и рабочие группы ИБ-специалистов. Их задача — оценить количество незащищённых систем в интернете. Например, тот же Shodan использовали для поиска баз данных MongoDB с ошибками в конфигурации.

Разумеется, с подобным софтом работают и злоумышленники. Они сканируют порты компьютеров и IoT-гаджетов, перебирают пароли в поисках слабо защищенных устройств, анализируют запущенные службы и ищут уязвимости. Среднее время устранения недостатков в коде сегодня составляет 60 дней. При этом многие проблемы остаются нерешенными. Так, 26% компаний в мире до сих пор не исправили уязвимости, которые использует программа-вымогатель WannaCry — а её обнаружили ещё в 2017 году.

В то же время сам шум, который генерирует сканирующий софт при рассылке пакетов на миллионы устройств, тоже вызывает вопросы с точки зрения ИБ.

В чем может быть проблема

Активность программ-сканеров формирует тысячи подключений, которые могут маскировать деятельность злоумышленников. «Зашумленный» трафик становится головной болью для системных администраторов. Системы мониторинга выдают большое количество предупреждений, требующих время на анализ.

В результате сотрудники, отвечающие за безопасность, сталкиваются с феноменом alert fatigue. Более 80% из них признают, что с трудом справляются с объемом оповещений. Уже сейчас инженеры в компаниях самых разных размеров игнорируют до 30% уведомлений мониторинговых систем.

/ unsplash.com / @chairulfajar_
/ unsplash.com / @chairulfajar_

В таком контексте возрастает риск проглядеть какую-либо киберугрозу. Проблема становится еще более актуальной на фоне растущего числа кибератак. Эксперты по ИБ прогнозируют настоящий «кибершторм» в 2023 году. За прошлый год число DDoS-атак увеличилось сразу на 79%, и аналитики фиксируют скачки активности разного рода зловредов и программ-вымогателей.

Что можно сделать

Сегодня больший объём «шумного» трафика приходится на протокол IPv4. В теории решить проблему может помочь миграция на IPv6. Расширение адресного пространства усложнит работу злоумышленников, которым станет в разы труднее его сканировать.

Другой способ справиться с растущим объемом «мусорных» подключений и перегрузкой сисадминов — специальные утилиты, которые автоматически убирают лишние уведомления и позволяют специалистам по безопасности сосредоточиться на реальных угрозах. Примером может быть открытая система CrowdSec. Она выявляет и блокирует вредоносные IP-адреса на основе поведенческих шаблонов. Среди других программ также выделяют Snort и Suricata — они собирают данные об угрозах, входящем и исходящем трафике для дальнейшего анализа.

Альтернативой этим приложениям могут стать ханипоты, которые выступают в роли своеобразной приманки для хакеров и помогают разделить вредоносный и полезный трафик.


Свежие материалы из нашего корпоративного блога:

  • Больше протоколов для шифрования DNS-запросов

  • Как использовать QoS для обеспечения качества доступа в интернет

  • Потенциальная уязвимость DHCP и rDNS — что нужно знать

Источник: https://habr.com/ru/company/vasexperts/blog/725922/


Интересные статьи

Интересные статьи

Мы все привыкли только читать или слышать о чём-то тайном и непонятном. Чтобы столкнуться с чем-то таким лично, надо, как правило, или предпринять далёкое путешествие, или подгадать какое-то удачное...
NFT - одна из самых обсуждаемых тем в криптосообществе, которая стала настолько популярной, что привлекла немало внимания и за его пределами. Единственная проблема заключ...
Настало время по традиции подвести итоги года. В конце 2018-го мы расставили приоритеты так: Spectre и Meltdown, машинное обучение в контексте восстановления картинки из шума, многочислен...
Текстовый вывод команд в окне интерпретатора PowerShell — всего лишь способ отображения информации в пригодном для человеческого восприятия виде. На самом деле среда ориентирована на работу с...
Содержание Что такое API API — набор функций Как составляется набор функций При чем тут слово «интерфейс» Как вызывается API Вызов API напрямую Косвенный вызов API Что значит ...