Назад | Перейти на главную страницу

Конкретная разница между ошибками и атаками

Не знаю, можно ли здесь задать этот вопрос, но считаю, что это нормально. Мой вопрос прост: как можно отличить ошибку от атаки? Отказ в обслуживании может быть вызван обоими причинами, что может рассматриваться как введение данных, может быть устройством, которое не работает должным образом, и так далее. Я вижу много недавних статей по этой теме, и они обычно рассматривают ошибки и атаки как одно и то же. У вас есть опыт по этому поводу? Разве можно отличить атаку от ошибки?

В атаках участвует противник. Неисправности - это технические неисправности. Следовательно, если у вас есть проблема, вы должны найти основную причину. Если у сервера неисправен блок питания, но никто не зашел в серверную, скорее всего, это неисправность. Если вы обнаружите фишинговые письма, неожиданные входы в систему через VPN, индикаторы трафика CnC и подозрительные обращения к вашему серверу с неожиданными отключениями, это более вероятно, что это атака. При этом не всегда можно однозначно отличить ошибку от атаки. В день и день вы должны быть достаточно уверены, чтобы сказать, что это одно или другое, чтобы сделать правильные выводы (убедитесь, что проблема больше не повторится, расширьте мониторинг, заранее измените детали, выследите противника, ... )

Атака - это внешнее действие с намерением, противоречащим интересам владельца. Эта категория определяется вне технической области. Если я вижу, что приложение внезапно выделяет всю оперативную память как причину ввода пользователя, я могу судить, была ли это атака, только когда я рассматриваю пользователя намерение. Джон загрузил большой файл в надежде на полезный результат. Не нападение. Тот же человек завтра загружает тот же файл, сейчас это может быть DoS-атака (они надеются на 5 минут дополнительного просмотра stackexchange, когда приложение снова умирает; вероятно, HNQ).

Приложив значительные усилия, вы можете разделить сбои: сбой, который является следствием внешнего воздействия (например, некоторый пользователь вводит данные в приложение), и сбой, который возникает без такой внешней причины. Второй вид не может быть вызван атакой, что следует прямо из определения.

Некоторые атаки вызывают неисправности (первого типа), некоторые - нет.