¿Qué está pasando en este render visual de un atacante y defensor en Seguridad de la Información?

Este es un ataque DDoS.

Las burbujas moradas son computadoras infectadas. Al tener miles de computadoras infectadas, un pirata informático simplemente puede obligarlas a atacar un objetivo. Este tipo de ataque significa que habrá tantas solicitudes a un solo servidor que no podrá manejarlas todas, lo que hará que el servidor se bloquee o simplemente no responda por un tiempo.

Para entender cuál es la definición de un ataque DDoS, solo copio una definición simple de wikipedia

  

En informática, un ataque de denegación de servicio (DoS) es un intento de hacer que una máquina o recurso de red no esté disponible para sus usuarios previstos, como para interrumpir o suspender temporal o indefinidamente los servicios de un host conectado a Internet. Una denegación de servicio distribuida (DDoS) es donde el origen del ataque es más de una, y con frecuencia miles de direcciones IP únicas.

Las burbujas verdes son honeypots. El honeypot es solo un "sistema" simple en la red que proporcionará cierta distracción al hacker.

Esto significa que en lugar de atacar el objetivo correcto, por ejemplo, un servidor web, el pirata informático atacará un honeypot, lo que significa que el servidor real no tiene que manejar todas las solicitudes y el ataque no tendrá un impacto real .

Los bubles rojo y gris, creo, que realmente son respuestas del servidor.

Si estoy viendo esto correctamente, entonces esto es básicamente una configuración de honeypot para detectar usuarios maliciosos en la red (conexiones entrantes y salientes) y poner en una lista negra su huella digital de IP / navegador.

1. Los círculos verdes son honeypots. Un honeypot puede enviar "señales" para que los piratas informáticos en la red sean conscientes de su presencia, o pueden quedarse dormidos esperando que alguien los active. Los hackers que están dentro de la red intentan acceder al honeypot. Como nadie en la red debería tener una razón legítima para acceder al honeypot, automáticamente agrega esa dirección IP / usuario (incluso si es local) al firewall y los bloquea.

   Ahora, los honeypots no buscan activamente objetivos como se muestra en el video. No es tan parecido a un sistema inmunológico. De hecho, una mejor representación serían los honeypots que atraen los escaneos como un imán (tanto entrante como saliente), y bloquean la transferencia de datos de un lado a otro cuando se activan. ( Gracias, @Iszi )

   Encontrar formas de evitar los honeypots puede ser trivial con el conjunto de habilidades correcto. Por ejemplo, utiliza un proxy IP y se conecta a una red. Cuando haya establecido una conexión, puede comenzar a escanear la red. Si se excluye tan pronto como intenta acceder al recurso X, puede identificarse correctamente como un honeypot. En tu próximo ataque, puedes excluir esos recursos.

   Agregar un poco de aleatoriedad al colocar muchos honeypots diferentes, y eliminar aleatoriamente a los atacantes dependiendo de algún tipo de algoritmo central puede realmente ofuscar este proceso y hacer que sea increíblemente difícil trazar las respuestas correctas de honeypot. Sin embargo, en general, si tiene acceso a estos honeypots y no hay nada útil en ellos, puede suponer que son un honeypot y seguir adelante, luego comenzar la búsqueda nuevamente con un proxy diferente. Para un profesional de seguridad de TI no entrenado que no se da cuenta del propósito de un honeypot, puede que simplemente bloquee la conexión y haga un "¡SÍ! ¡Detuve el haxor!" mover la mano Pero simplemente podría ser parte de un ataque para determinar qué está bien y qué no.

   Alternativamente, un atacante ya puede saber a qué recursos específicos acceder, lo que hace que un honeypot sea discutible.

   Sin embargo, puede ser una contramedida efectiva para impedir que un usuario local acceda a cualquier elemento de la red local si el usuario activa el honeypot, incluso si son parte de la misma red. La razón de esto es que la cuenta de usuario puede estar comprometida y puede estar intentando acceder a recursos que no deberían. Ese usuario puede tener acceso a una gran cantidad de infraestructura crítica, pero nunca debe intentar acceder a los honeypots.

2. The Purple Circles son usuarios. Cuando se bloquean las direcciones IP potencialmente maliciosas, el honeypot tiene como objetivo evitar que los datos del usuario salgan, ingresen o ambos. A menos que el (los) honeypot (s) hayan detectado un acceso deshonesto antes y hayan cerrado al usuario, no funcionarán si el atacante ya sabe a qué acceder o si nunca toca los honeypots.

3. Los diminutos círculos rojos y blancos que atacan los puntos verdes y púrpuras son personas / programas / cualquier cosa maliciosos.

Un honeypot podría ser cualquier cosa . Podría ser algo configurado para tomar inicios de sesión predeterminados, podría ser un recurso de dispositivo en red inactivo, archivos falsos, bases de datos falsas, cualquier cosa para engañar a alguien para que piense que es útil, y quizás aplicar ingeniería inversa sobre lo que está haciendo el atacante. Incluso podría ser un archivo pdf infectado que engaña al atacante para que se ejecute en su propia máquina al abrirlo.

Esencialmente, este video es una forma de tratar de representar visualmente lo que está pasando con el honeypot / IDS y el Firewall.