「通常のインターネット」ポートスキャンとより「深刻な」ポートスキャン準備攻撃を区別する方法は?
ファイアウォール、ルーター、サーバーがSIEMによって監視されている完全なネットワークインフラストラクチャでは、LogPointがここにあります。もちろん、プライベートネットワークとパブリックサーバーがあります。
logPointには、「ポートスキャン」と呼ばれるアラートがあり、1つのソースが5分間に100の異なるポートで1つの宛先にヒットするたびにトリガーされます。
これらのログを使用して、インターネットで毎日発生する「通常の」ポートスキャンと、攻撃の準備になる可能性があり、より「深刻な」ポートスキャンであるポートスキャンをどのように区別しますか。
ないのでできません。ポートスキャンが次の場合を除きます。
- あなたが開始しました。
- リクエストに応じて、またはセキュリティパートナーが代理で開始します。
悪意があります。必要に応じてそれらをブロックできます。ポートスキャンの唯一の目的は、悪意のあるなしに関わらず、インターネットに面したゲートウェイの弱点や脆弱なサービスを見つけることです。あなたまたはパートナーがそれをするなら、それはあなたの姿勢を強化するのを助けることです。他の誰かがそれを行う場合は、攻撃する価値があるかどうか、およびその攻撃を最も効果的に開始する方法を決定することです。