Смело пробуйте огромное количество имени пользователя и пароля, пока не получите эту уникальную комбинацию: это пример Интернет-атаки методом «грубой силы». Получив доступ к компьютеру пользователя, он, в свою очередь, может быть использован для распространения незаконного контента или для выполнения DDoS-атаки.
Сам того не зная, пользователи таким образом превращаются в злоумышленников. Этот тип атак осуществляется через относительно уязвимые веб-приложения, такие как WordPress или Joomla, но также с использованием Secure Shell (SSH), который позволяет удаленный вход на устройство.
Проверяйте содержимое входящих данных, анализируйте сетевой трафик и файлы журналов на каждом компьютере: это классический подход.На основе потока
По словам Рика Хофстеде, это подразумевает анализ огромного количества данных, которые никогда не будут иметь эффекта. В сети более крупных организаций, к которой, вероятно, подключены десятки тысяч компьютеров, смартфонов и планшетов, скоро будет невозможно проверить каждое устройство.
Поэтому Хофстеде выбирает подход, основанный на потоке: он смотрит на поток данных с более высокого уровня и выявляет закономерности. Так же, как вы можете распознавать рекламные рассылки, фактически не проверяя содержание брошюр.
Основным преимуществом является то, что этот метод обнаружения может выполняться в центральной точке, например, маршрутизатор, обрабатывающий трафик. Даже если количество устройств, подключенных к этому маршрутизатору, быстро растет — а это, несомненно, произойдет с появлением 5G и Интернета вещей — обнаружение можно легко увеличить. Увеличивая масштаб атак, которые имеют эффект, т.е. которые приводят к «компромиссу» и требуют действий, Хофстеде еще больше сужает свой анализ. Таким же образом можно распознать несколько атак от одного и того же отправителя.
Хофстеде не просто проверил свою методологию в лаборатории, он сделал свое программное обеспечение SSHCure открытым исходным кодом для команд реагирования на компьютерные чрезвычайные ситуации нескольких организаций. Его метод оказывается эффективным и снижает количество инцидентов с точностью обнаружения до 100% — например, в зависимости от конкретного приложения и типа сети.
По мнению Хофстеде, в будущем более мощные маршрутизаторы смогут выполнять обнаружение самостоятельно без необходимости в дополнительном оборудовании.