GreyNoice ziet waarom IP reputatiesystemen te kort schieten

Te veel ongewenst verkeer komt van particuliere internetverbindingen

Wie in de logs van zijn website of firewall kijkt ziet geheid dat de pieken en dalen in het verkeer minder groot zijn dan logisch is en ook de herkomst van al dat verkeer klopt niet. Steeds meer van al dat verkeer is in principe ongewenst, maar het tegenhouden daarvan is lastig.

GreyNoise heeft vorige week een whitepaper gepubliceerd over het ongewenste verkeer en zoomt daarbij in op het grote aantal IP adressen dat herleidbaar is tot de netwerken van consumenten providers. Het bedrijf analyseerde daarvoor 4 miljard sessies gedurende 90 dagen en ontdekte dat 39% van de unieke IP-adressen afkomstig is van particuliere internetverbindingen en dat 78% verdwijnt voordat een reputatiesysteem ze kan markeren. Voor een reputatiefeed is het bron-IP-adres niet te onderscheiden van de verbinding van een legitieme gebruiker: dezelfde internetproviders, dezelfde IP ranges. Het wordt helemaal lastig daar een reputatiesysteem op te trainen als de gebruikte adressen maar een paar keer opduikt in de logs. Elk potentieel verdacht residentieel IP-adres is gemiddeld bij minder dan 3 sessies betrokken voordat het verdwijnt. Wat volgens GreyNoice wel houvast zou kunnen bieden is kijken naar de “slaapcyclus” Verkeer van IP-adressen die zich in India bevinden, daalt ’s nachts met 34% — de gegevens komen overeen met gecompromitteerde thuis-pc’s die de menselijke slaapcyclus volgen. De eigenaren van de apparaten zijn slachtoffers. Iets dergelijks geldt ook voor verkeer uit China en Brazilië. Als het in die drie landen nacht is, dan daalt het volume van dubieus en kwaadaardig verkeer.

Verkeer weren

Het whitepaper is natuurlijk bedoeld om leads te generen en stelt daarom niet direct toepasbare oplossingen voor. Met enige nuchterheid kun je op basis van de cijfers zelf handelen. Waarom zou je überhaupt verkeer toestaan uit landen waarmee je nul komma nul zaken doet? Marketeers vinden dat standaard een gruwel, want strikte filtering van verkeer leidt tot minder bezoek. Maar waarom is meer verkeer belangrijker dan meer veiligheid? Bij het instellen van firewallregels komt die discussie gelukkig minder vaak voor, maar toch. De omvang en aard van risico’s en regelrechte gevaren is zo groot dat er geen valide argument meer kan zijn om niet kritisch te kijken naar de geografische herkomst van verkeer. Helemaal omdat, zoals GreyNoice aangeeft het vertrouwen op de bestaande reputatiesystemen niet meer werkt.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein