Wie in de logs van zijn website of firewall kijkt ziet geheid dat de pieken en dalen in het verkeer minder groot zijn dan logisch is en ook de herkomst van al dat verkeer klopt niet. Steeds meer van al dat verkeer is in principe ongewenst, maar het tegenhouden daarvan is lastig.
Het bedrijf analyseerde daarvoor 4 miljard sessies gedurende 90 dagen en ontdekte dat 39% van de unieke IP-adressen afkomstig is van particuliere internetverbindingen en dat 78% verdwijnt voordat een reputatiesysteem ze kan markeren.
Voor een reputatiefeed is het bron-IP-adres niet te onderscheiden van de verbinding van een legitieme gebruiker: dezelfde internetproviders, dezelfde IP ranges. Het wordt helemaal lastig daar een reputatiesysteem op te trainen als de gebruikte adressen maar een paar keer opduikt in de logs. Elk potentieel verdacht residentieel IP-adres is gemiddeld bij minder dan 3 sessies betrokken voordat het verdwijnt.
Wat volgens GreyNoice wel houvast zou kunnen bieden is kijken naar de “slaapcyclus” Verkeer van IP-adressen die zich in India bevinden, daalt ‘s nachts met 34% — de gegevens komen overeen met gecompromitteerde thuis-pc’s die de menselijke slaapcyclus volgen. De eigenaren van de apparaten zijn slachtoffers. Iets dergelijks geldt ook voor verkeer uit China en Brazilië. Als het in die drie landen nacht is, dan daalt het volume van dubieus en kwaadaardig verkeer.
Verkeer weren
Het whitepaper is natuurlijk bedoeld om leads te generen en stelt daarom niet direct toepasbare oplossingen voor. Met enige nuchterheid kun je op basis van de cijfers zelf handelen. Waarom zou je überhaupt verkeer toestaan uit landen waarmee je nul komma nul zaken doet?
Marketeers vinden dat standaard een gruwel, want strikte filtering van verkeer leidt tot minder bezoek. Maar waarom is meer verkeer belangrijker dan meer veiligheid? Bij het instellen van firewallregels komt die discussie gelukkig minder vaak voor, maar toch. De omvang en aard van risico’s en regelrechte gevaren is zo groot dat er geen valide argument meer kan zijn om niet kritisch te kijken naar de geografische herkomst van verkeer. Helemaal omdat, zoals GreyNoice aangeeft het vertrouwen op de bestaande reputatiesystemen niet meer werkt.