Во времена коммутируемого доступа под шумом Интернета был тот самый ламповый звук модема, подключающегося к серверу провайдера по телефонной линии. Достаточно было поднять трубку, чтобы услышать, как устройства общаются друг с другом. Шумные модемы в значительной степени ушли в прошлое, но сейчас интернет-эфир оккупирован другим видом шума. Это вызвано «роумингом» пакетов в сети.

Откуда этот шум?

Его источником является программное обеспечение, которое сканирует устройства, подключенные к сети. Специализированные утилиты ищут открытые порты, собирают информацию об IP-адресах. Примером может служить поисковая система Shodan. Он позволять откройте для себя в Интернете самые разные устройства: от датчиков температуры и смартфонов до систем контроля безопасности банков и крупных корпораций.

В 2003 г. объем этого трафика в отдельных сетях были всего 20 базисных пунктов. К 2010 году минимальный уровень шума блока IPv4/8 увеличился до 50 Мбит/с. Можно предположить, что сегодня цифра увеличилась.

Пользователи интернет-сканеров преследуют разные цели. Таким образом, глобальная сеть постоянно изучать сотрудники научно-исследовательских институтов и рабочих групп специалистов по информационной безопасности. Их задача — оценить количество незащищенных систем в Интернете. Например, тот же Шодан использовал найти базы данных MongoDB с ошибками конфигурации.

Разумеется, с таким ПО работают и злоумышленники. Они сканируют порты на компьютерах и IoT-гаджетах, перебирают пароли для слабозащищенных устройств, сканируют запущенные сервисы и сканируют на наличие уязвимостей. Среднее время исправления ошибок кода сегодня 60 дней. Однако многие вопросы остаются нерешенными. Таким образом, 26% компаний по всему миру еще не исправили уязвимости, используемые вымогателем WannaCry — а он был обнаружен в 2017 году.

В то же время сам шум, создаваемый сканирующим ПО при отправке пакетов на миллионы устройств, также вызывает вопросы с точки зрения информационной безопасности.

ЧИТАТЬ   В Госдуме призвали урегулировать работу беспилотных автомобилей

В чем может быть проблема

Активность программ-сканеров генерирует тысячи подключений, которые могут скрыть активность злоумышленников. Шумный трафик становиться головная боль для системных администраторов. Системы наблюдения выдают большое количество предупреждений, требующих времени на анализ.

В результате сотрудники службы безопасности сталкиваются с явлением предупредительная усталость. Более 80% из них распознаватькоторый с трудом справляется с объемом оповещений. Уже сейчас инженеры компаний любого размера игнорируют до 30% уведомлений от систем наблюдения.

/unsplash.com/@chairulfajar_

В этом контексте возрастает риск игнорирования любой киберугрозы. Проблема становится еще более актуальной в условиях участившихся кибератак. Эксперты по информационной безопасности предсказывать настоящий «кибершторм» в 2023 году. За последний год количество DDoS-атак выросло сразу на 79%, а аналитики фиксируют скачки активности различных видов вредоносных программ и программ-вымогателей.

Что может быть сделано

Самый «шумный» трафик сегодня приходится на протокол IPv4. Теоретически переход на IPv6 может решить проблему. Расширение адресного пространства затруднит его сканирование злоумышленниками.

Еще один способ справиться с растущим объемом нежелательных входов в систему и перегруженностью системных администраторов — использовать специальные утилиты, которые автоматически подавляют ненужные уведомления и позволяют специалистам по безопасности сосредоточиться на реальных угрозах. Пример Может быть Открытая система CrowdSec. Он обнаруживает и блокирует вредоносные IP-адреса на основе моделей поведения. Другие программы тоже выделять Snort и Suricata — собирают данные об угрозах, входящем и исходящем трафике для дальнейшего анализа.

Альтернатива этим приложениям я могу быть приманки, которые служат своеобразной приманкой для хакеров и помогают отделить вредоносный трафик от полезного.


Новые материалы из блога нашей компании:

Source

От admin