Jaha, maar een hoop incidenten komen van binnen uit als gevolg van onvoorzichtige en onwetende gebruikers. Bijvoorbeeld via het bezoek aan bepaalde websites of het openen van onbetrouwbare mailtjes. Dit zijn in dit licht dus ook aanvallen van binnen uit.

Maatregelen ter regulering van het internet en mailgebruik zijn dus essentieel voor de beveiliging van een netwerk.

Er komen wel meer aanvallen van buitenaf maar de aanvallen van binnenuit zijn meestal effectiever. Dit omdat de medewerkers meestal wel weten hoe de infrastuctuur in elkaar steekt. Een aanvaller van buitenaf zal dit eerst moeten uitzoeken.

Ik geloof het best dat de meeste aanvallen van buitennaf plaatsvinden.. Er zijn ook veel meer script-kiddies en andere hobbyisten buiten te vinden dan in het bedrijf..

Maar ik denk dat aanvallen vanaf internet ook niet de grootste dreiging zijn.
Operationele fouten door gebruikers en met name beheerders komen veel vaker voor en kunnen een nog veel grotere schade aanrichten..

Het concentreren op het voorkomen van aanvallen van binnenuit heeft dan ook niet zoveel zin.. Het voorkomen van fouten daarentegen wel.

Ik zie het al, ook de reacties zijn net zo verdeeld als de onderzoeken... :-)

Volgens mij zijn de cijfertjes al jaren het zelfde. 80% van de aanvallen komt van buitenaf. Van de 20% die van binnenuit gebeuren (bewust of niet) slaagt 80%.

Het is misschien de kleinste groep maar wel de gevaarlijkste.

Andere rapporten zeggen: 70% binnen 30% buiten...

...weet je hoeveel portscans ik gisteren weer voor mijn kiezen kreeg? Die ZOU je als aanvallen kunnen kwalificeren...;-)

Portscans? Dat is kietelen.
Weet je wat ik opvang aan illegal requests op de open poorten?
Dat gaat verder dan creatief surfen:

{} = commentaar

[ACCEPT] */*
[ACCEPT_ENCODING] gzip, deflate
[ACCEPT_LANGUAGE] pt-br
[CONNECTION] Keep-Alive
[HOST] {munged qualified system hostname}
[USER_AGENT] Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) {yeah, geloof je het zelf?}
[PROTOCOL] HTTP/1.1
[METHOD] GET
[REQUEST] /ssi/copyright.js {bestaat niet, nooit bestaan}

{Andere poging: Doen alsof danmaar?}

[IF_MODIFIED_SINCE] Fri, 24 Oct 2003 17:45:20 GMT
[IF_NONE_MATCH] "506acf-171-3f996530"

{Overnieuw, Zo dan misschien:}

[CACHE_CONTROL] no-cache
[CONNECTION] Keep-Alive
[HOST] {munged qualified system hostname}
[USER_AGENT] New.net Client
[PROTOCOL] HTTP/1.1
[METHOD] GET
[REQUEST] /?version=327720&tag=id=438a790a0fd5ee0bd2f4df25da049675&source=GDIVX-321&ptr=NN100&search=1

Van een enkel systeem.

Mooi land, Brazilië, alleen hun requests...

Mag ik wat weten: gebeurt dit bij een hogh profile bedrijf of ben je gewoon een willekeurig doel?

Een high-tech bedrijf, niet eens zo groot, dat op zichzelf staand een gericht danwel willekeurig doel kan vormen afhankelijk vanuit welk perspectief dat wordt bekeken.

Bij de meeste pogingen behelst dat volstrekt willekeur: zijn eenmalig met een IP als host (proberen meerdere IP, proberen hele IP-bereiken) met een ongeldig get-requestje, met onvolledige headers. (Bij dit type pogingen wordt de willekeur onderbouwd door de aanwezigheid van identieke pogingen geïnitieerd vanaf hetzelfde systeem bij een keur aan andere IP's/systemen)

De minderheid is gericht bezig met 'foutzoeken' en proberen nauwgezetter te misleiden door een browser te faken*, headers te faken, get-, post- requests, sessions en cookies te faken.
De een klungelig zoals met voorgaande posting het geval is, de ander aanzienlijk geavanceerder. (Bij dit type pogingen wordt de gerichtheid onderbouwd door isolatie, bij geen andere IP's/systemen te vinden, naast dat in dat geval vrijwel altijd als HTTP-HOST in de HTTP-Headers van de full hostname (http://www.domein.tld) gebruik wordt gemaakt ipv het systeem haar IP)

*Browsers faken heeft enkel nut wanneer men slechts standaard logt:
xxx.xxx.xxx.xxx - - [11/Nov/2003:15:12:15 +0100] "GET /ssi/copyright.js HTTP/1.1" 404 230 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
dan vallen pogingen in mindere mate op. Wanneer je zoals wij de volledige request loggen krijg je een veel beter beeld waarbij pogingen direct in het oog springen.

Last hebben we er niet van. Het bevestigd hoogstens dat je altijd zeer bewust met je systeem moet omspringen, waar je oplettend van blijft maar niet slapeloos ;)

Alle pogingen leveren eerder een schat aan informatie op, waar je rekening mee kunt houden.