Хакер за стенкой. Как ваш сосед по Wi-Fi стал частью глобальной кибервойны
NewsMakerХакеры начали массово использовать домашний интернет и мобильные сети для маскировки атак.
Сетевые экраны в компаниях привыкли опираться на репутацию IP-адресов . Новый анализ показывает, что этот подход все чаще дает сбой. Исследователи GreyNoise изучили 4 миллиарда сетевых сессий за 90 дней и пришли к выводу: почти 40% уникальных IP, которые обращаются к внешнему периметру компаний, принадлежат обычным домашним подключениям. При этом около 78% таких адресов исчезают раньше, чем попадают в какие-либо базы репутации.
Проблема упирается в саму природу таких адресов. С точки зрения системы фильтрации IP из домашнего сегмента ничем не отличается от трафика легитимного пользователя. Те же интернет-провайдеры, те же диапазоны адресов. Злоумышленники используют обычный домашний интернет, мобильные сети и небольшие корпоративные подключения как промежуточные узлы. В результате вредоносный трафик выглядит так же, как запросы сотрудников, клиентов или партнеров.
Статистика показывает, насколько быстро меняется картина. Доля адресов из домашнего сегмента достигает 39% среди уникальных источников, хотя по общему числу сессий их около 22%. Каждый такой IP обычно участвует менее чем в 3 сессиях и затем исчезает. Фактически речь идет о постоянно меняющемся пуле источников, которые появляются на короткое время и не успевают накопить репутацию.
Основной механизм — быстрая ротация адресов. Почти 80% домашних IP встречаются всего в одной или двух сессиях и больше не наблюдаются. При такой динамике любые системы, которые обновляют списки угроз с задержкой, просто не успевают реагировать. Репутационные фиды оказываются неэффективными не из-за ошибок в данных, а из-за того, что сама модель устаревает быстрее, чем ее можно обновить.
Сетевые экраны в компаниях привыкли опираться на репутацию IP-адресов . Новый анализ показывает, что этот подход все чаще дает сбой. Исследователи GreyNoise изучили 4 миллиарда сетевых сессий за 90 дней и пришли к выводу: почти 40% уникальных IP, которые обращаются к внешнему периметру компаний, принадлежат обычным домашним подключениям. При этом около 78% таких адресов исчезают раньше, чем попадают в какие-либо базы репутации.
Проблема упирается в саму природу таких адресов. С точки зрения системы фильтрации IP из домашнего сегмента ничем не отличается от трафика легитимного пользователя. Те же интернет-провайдеры, те же диапазоны адресов. Злоумышленники используют обычный домашний интернет, мобильные сети и небольшие корпоративные подключения как промежуточные узлы. В результате вредоносный трафик выглядит так же, как запросы сотрудников, клиентов или партнеров.
Статистика показывает, насколько быстро меняется картина. Доля адресов из домашнего сегмента достигает 39% среди уникальных источников, хотя по общему числу сессий их около 22%. Каждый такой IP обычно участвует менее чем в 3 сессиях и затем исчезает. Фактически речь идет о постоянно меняющемся пуле источников, которые появляются на короткое время и не успевают накопить репутацию.
Основной механизм — быстрая ротация адресов. Почти 80% домашних IP встречаются всего в одной или двух сессиях и больше не наблюдаются. При такой динамике любые системы, которые обновляют списки угроз с задержкой, просто не успевают реагировать. Репутационные фиды оказываются неэффективными не из-за ошибок в данных, а из-за того, что сама модель устаревает быстрее, чем ее можно обновить.