Исследование Solar JSOC: киберпреступники становятся профессиональнее

[amarao]

Сотни тысяч инцидентов! А если бот постучался на ssh/22, это «кибератака, направленная на получение контроля над инфраструктурой организации»?

Если так, то у меня карманный сервачок отбивает ТЫСЯЧИ атак ежедневно.

[amarao]

Многие security-фирмы в целях продать свои услуги подороже наводят FUD (Fear uncertainty doubt) на клиентов, рассказывая про постоянный поток кибератак в интернете.

При этом они могут считать кибератакой:
* Бота, стукнувшегося на ssh-порт
* Скан портов
* Обращение поисковика за запароленным ресурсом (без пароля)
* Попытку доступа на ftp по пользователю anonymous (где нет такого пользователя).

На выходе получаются сотни тысяч кибератак, хотя по сути — это информационный шум и никакого дорогостоящего внимания не требует.

[SolarSecurity]

Если бот постучался на ssh/22, это классифицируется как событие информационной безопасности, а не кибератака. Шум интернета действительно велик, и он вносит свой вклад в цифру 28 млрд событий ИБ, ежесуточно обрабатываемых SIEM-системой.

[amarao]

А где проходит граница между «постучался на ssh» и «отбитая атака на сервер»? Если бот попытался реально подключиться (и даже предъявил пароль для рута — неверный, разумеется), это атака или нет?

[SolarSecurity]

Это каждый трактует по-своему, но мы для себе решили, что граница проходит там, где требуется вмешательство человека, будь то инженер первой линии мониторинга, аналитик или заказчик (в зависимости от кейса).

[amarao]

Разумное определение. 357 тыс. кибератак, требующих вмешательства человека?