Рекомендации лаборатории касперского. Вдруг кому-то понадобиться.
Зачастую, регистрация атак такого типа, это следствие особенностей сетевой инфраструктуры, топологии сети, протоколов, которые используются в тех или иных VLAN-ах (например, протокола повышения доступности маршрутизаторов (VRPP), когда вполне легитимно осуществляется подмена физического адреса шлюза виртуальным) и т.д.
В случае с событиями ‘Mac Spoofing Attack: unexpected ARP response’ всё несколько иначе и причина детектов очевидно уже другая. Чаще условно атакующими устройствами являются не компьютеры и не сетевые маршрутизаторы, а некоторое сетевое оборудование вроде принтеров (МФУ), NAS-ов, камер и т.д. Для таких устройств веерная рассылка по своему сегменту сети ARP-ответов может являться вполне штатным сценарием функционирования, на что и реагирует продукт. В практике неоднократно были случаи, когда такие устройства рассылали ARP-ответы на компьютеры в своей подсети, несмотря на отсутствие со стороны компьютеров ARP-запросов (и это соответствовало логике работы оборудования). Для целевых компьютеров получение ARP-ответов неожидаемо (mac_spoofing_reply_without_request), тогда продукт реагирует на это детектом с упоминанием ‘unexpected ARP response’ – т.е. запрос не отправлялся, а ответ пришел.
Также хочу отметить, что по умолчанию опция отслеживания MAC-спуфинга отключена в политике KES, так как целесообразно ее использование только в сетях, где могут быть подключаться сторонние клиенты, например сети торговых центров и.т.д. Или если сам хост выносят из изолированной сети в публичную, например, ноутбук выносят из офиса и подключают к публичному Wi-Fi.
Если ситуация не соответствуют вышеуказанными, то можно опцию просто отключить.