Comments 4
Наш опыт показывает, что основные группы угроз это:
хищение;
шантаж;
шпионаж;
саботаж;
плацдарм для дальнейших атак.
Всё это так, но здесь не хватает одной из важнейших групп важнейшего, это блокирование ресурса, например, через DoS-атаку.
С таким блокированием нам пришлось столкнуться сразу же после начала известных событий, сайт оказался практически недоступным для посетителей. Анализ показал, что идет планомерная атака с адреса 164.32.234.57. Поскольку сайт развёрнут на Linux, то проблема решилась просто через настройки iptables:
iptables -t filter -A INPUT -s 164.92.234.0/24 -j DROP
(D)DoS-атаку можно скорее отнести к категории саботаж, т.к. это фактически саботирование работы компании и ее ресурсов.
Пользователи как раз не саботируют, а возмущаются тем, что им не доступен ресурс (заметьте, они может быть бы и рады саботировать, только нет доступа к тому, что им предлагают саботировать).
Вот смысл саботажа:
Преднамеренный срыв работы путем невыполнения или умышленно плохого исполнения ее. Медлительность работ оставалась прежней. Была ли она сознательным саботажем, была ли она случайностью — кто знает! Фурманов, Чапаев.
Устойчивость к DDoS обычно проверяют в рамках нагрузочного тестирования. Ну и это все-таки достаточно "шумная" операция, которая гарантированно привлекает внимание.
Цель же подобных киберучений как раз в том, что бы научить специалистов обнаруживать незаметную активность злоумышленников.
Ну и да, большая часть пентестов проводится на условии сохранения работоспособности атакуемой инфраструктуры, чего сложно достичь при реализации атаки на отказ в обслуживании.
Лучшая защита – нападение: как моделирование действий злоумышленника помогает укрепить инфраструктуру