Во времена dial-up под интернет-шумом был тот самый ламповый звук модема, подключающегося к серверу провайдера по телефонной линии. Достаточно было поднять трубку, чтобы услышать, как устройства общаются друг с другом. Шумящие модемы по большей части остались в прошлом, но сегодня интернет-эфир занимает другой вид шума. Его вызывают «блуждающие» в сети пакеты.

Откуда берется этот шум

Его источник — софт, сканирующий подключенные к сети устройства. Специализированные утилиты ищут открытые порты, собирают информацию об IP-адресах. Примером может быть поисковая система Shodan. Он позволяет обнаружить в интернете самые разные устройства: от датчиков температуры и смартфонов до систем контроля безопасности банков и крупных корпораций.

Еще в 2003 году объемы подобного трафика в отдельных сетях составляли всего 20 бит/с. К 2010 году фоновый шум для блока IPv4/8 вырос до 50 Мбит/с. Можно предположить, что на сегодняшний день цифра кратно увеличилась.

Пользователи интернет-сканеров преследуют разные цели. Так, глобальную сеть постоянно изучают сотрудники исследовательских институтов и рабочие группы ИБ-специалистов. Их задача — оценить количество незащищённых систем в интернете. Например, тот же Shodan использовали для поиска баз данных MongoDB с ошибками в конфигурации.

Разумеется, с подобным софтом работают и злоумышленники. Они сканируют порты компьютеров и IoT-гаджетов, перебирают пароли в поисках слабо защищенных устройств, анализируют запущенные службы и ищут уязвимости. Среднее время устранения недостатков в коде сегодня составляет 60 дней. При этом многие проблемы остаются нерешенными. Так, 26% компаний в мире до сих пор не исправили уязвимости, которые использует программа-вымогатель WannaCry — а её обнаружили ещё в 2017 году.

В то же время сам шум, который генерирует сканирующий софт при рассылке пакетов на миллионы устройств, тоже вызывает вопросы с точки зрения ИБ.

В чем может быть проблема

Активность программ-сканеров формирует тысячи подключений, которые могут маскировать деятельность злоумышленников. «Зашумленный» трафик становится головной болью для системных администраторов. Системы мониторинга выдают большое количество предупреждений, требующих время на анализ.

В результате сотрудники, отвечающие за безопасность, сталкиваются с феноменом alert fatigue. Более 80% из них признают, что с трудом справляются с объемом оповещений. Уже сейчас инженеры в компаниях самых разных размеров игнорируют до 30% уведомлений мониторинговых систем.

В таком контексте возрастает риск проглядеть какую-либо киберугрозу. Проблема становится еще более актуальной на фоне растущего числа кибератак. Эксперты по ИБ прогнозируют настоящий «кибершторм» в 2023 году. За прошлый год число DDoS-атак увеличилось сразу на 79%, и аналитики фиксируют скачки активности разного рода зловредов и программ-вымогателей.

Что можно сделать

Сегодня больший объём «шумного» трафика приходится на протокол IPv4. В теории решить проблему может помочь миграция на IPv6. Расширение адресного пространства усложнит работу злоумышленников, которым станет в разы труднее его сканировать.

Другой способ справиться с растущим объемом «мусорных» подключений и перегрузкой сисадминов — специальные утилиты, которые автоматически убирают лишние уведомления и позволяют специалистам по безопасности сосредоточиться на реальных угрозах. Примером может быть открытая система CrowdSec. Она выявляет и блокирует вредоносные IP-адреса на основе поведенческих шаблонов. Среди других программ также выделяют Snort и Suricata — они собирают данные об угрозах, входящем и исходящем трафике для дальнейшего анализа.

Альтернативой этим приложениям могут стать ханипоты, которые выступают в роли своеобразной приманки для хакеров и помогают разделить вредоносный и полезный трафик.

Свежие материалы из нашего корпоративного блога:

• Больше протоколов для шифрования DNS-запросов

• Как использовать QoS для обеспечения качества доступа в интернет

• Потенциальная уязвимость DHCP и rDNS — что нужно знать