2021-11-07 00:26:46
Комментарии по отчету Radware.
1. Малопонятная метрика malicious events
Учитывая, что одна атака может содержать от одного до сотен событий, то не очень понятно, как интерпретировать и проецировать на реальность данную статистику.
2. Измерение атаки в количестве «заблокированных» байт
Во-первых, навеяло нафталиновыми временами, когда доступ в Интернет был помегабайтно.
Во-вторых, а что с трафиком атаки, которую система фильтрации пропустила?
Т.е. метрика мало характеризует атаку, а только говорит, что в этом году они стали лучше сбрасывать трафик.
В-третьих, если отбросить шутки про нафталин и задуматься, в каком случае атака на суммарное количество входящих данных актуальна, то вспоминается тарификация у облачных хостингов. Но, например, по нашей информации, AWS и Azure не тарифицируют трафик атаки.
3. Нормализованная статистика на клиента
В отчете много статистики в расчете на одного клиента, в том числе для сравнения с другими периодами. Но нет статистики по количеству клиентов и изменениям. А главное — клиент клиенту рознь и профиль по атакам будет сильно разный.
Как происходит нормализация на клиента? По тексту отчета есть места, где усреднение называют нормализацией.
Тогда получается, например, если на клиента_1 было 10 UDP Flood атак, на клиента_2 2 HTTP Flood атаки, то нормализованная статистика покажет 5 UDP Flood и 1 HTTP Flood?
Вспоминается шутка: «Одни едят мясо, другие капусту, а в среднем все едят голубцы.»
4. Индустрия “technology”
Technology – указана как самая атакованная индустрия. Что за индустрия такая? В GICS мы её не нашли.
5. Странный Топ векторов атак по объему (figure 18)
- cтроить Топ типов атак по количеству сброшенного трафика, странное решение;
- не ясно как интерпретировать эти данные после нормализации;
- не указаны единиц измерения;
- SSL-ClearText
В наших палестинах мы не слышали про DDoS-атаку SSL-ClearText, и не смогли найти в открытых источниках хоть какое-то описание. Кто знает про атаку или работает с Radware,
зашлите нам ссылку с описанием атаки.
6. Непонятный Топ application по объему (figure 19)
Что в данном случае application? Трафик на порт, закрепленный за приложением, или прикладная атака по протоколу приложения?
Что считается и показывается в этом Топе? Приложения, которые были атакованы, или которые атаковали? Если которые атакованы, тогда Radware защищает SSDP и NTP приложения? Если которые атаковали, то что делают в этом списке HTTPS, HTTP, SMTP?
7. На девятом слайде пасхалка с дублем двух абзацев.
В итоге имеем пример отчета, в котором привели множество каких-то данных, но при этом мало говорящих по сути. К качеству отчета вопросы от выбора странных метрик до непонятных срезов.
Возможно, это просто мы ничего не понимаем. Поэтому готовы опубликовать дополнения и разъяснения, когда получим комментарии от вендора.
71 viewsedited 21:26