ضوضاء الشبكات قد تنذر بظهور ثغرات خطيرة في أجهزة الحواف

ارتفاعات حركة المرور قد تكون إنذاراً مبكراً للثغرات الأمنية

أظهرت دراسة حديثة أجرتها شركة GreyNoise أن الهجمات الإلكترونية على أجهزة الحواف (Edge Devices) لا تأتي بشكل عشوائي، بل يسبقها نشاط تحضيري كثيف. هذا النشاط يترك أثراً يمكن رصده عبر شبكات المراقبة، مما يشكل نظام إنذار مبكر قبل الإعلان الرسمي عن الثغرات الأمنية.

الدراسة تكشف عن نمط متكرر

خلال دراسة استمرت 103 يوماً في الشتاء الماضي، رصدت GreyNoise 104 ارتفاعاً مفاجئاً في حركة المرور استهدفت 18 مورداً مختلفاً للأجهزة. وقد تبين أن نصف هذه الارتفاعات تقريباً تلاها إعلان رسمي عن ثغرات أمنية من نفس المورد خلال ثلاثة أسابيع.

ووفقاً للتقرير، بلغ متوسط فترة التحذير قبل الإعلان الرسمي عن الثغرة 9 أيام، مما يمنح الفرق الأمنية فرصة للاستعداد والتحقيق قبل استغلال الثغرات.

«كلما رأينا ارتفاعاً كبيراً في نشاط الاستطلاع والتعرف على أجهزة معينة، فهذا يعني أن شخصاً ما يعرف بوجود ثغرة. وخلال أيام أو أسابيع، عادةً ضمن جدول الكشف المسؤول، تظهر ثغرة أمنية خطيرة جداً».
أندرو موريس، مؤسس شركة GreyNoise

أجهزة الأمن هي الأكثر استهدافاً

أشارت الدراسة إلى أن أجهزة مثل أجهزة التوجيه (Routers) وأنظمة VPN وجدران الحماية (Firewalls) هي الأكثر استهدافاً، وغالباً ما تحتوي على ثغرات مستغلة. وقال موريس: «المفارقة هنا هي أن المهاجمين يحبون اختراق أجهزة الأمن نفسها».

كيف يمكن التمييز بين النشاط الطبيعي والنشاط المشبوه؟

قسمت GreyNoise ارتفاعات حركة المرور إلى فئتين رئيسيتين:

• شدة الهجوم (Session Counts): تشير إلى مدى قوة الهجوم على مورد معين.
• انتشار المصادر (Unique Source IPs): تشير إلى مدى انتشار مصادر الهجوم الجديدة.

وأوضح التقرير أن «ارتفاعاً متزامناً في الشدة والانتشار يشير إلى تنسيق محتمل للهجوم، مما يستدعي اتخاذ إجراءات فورية». بينما قد لا يكون ارتفاع عدد المصادر وحده مؤشراً كافياً على وجود ثغرة.

تأكيدات من بحوث أخرى

تدعم هذه النتائج دراسات أخرى من شركات مثل Verizon وGoogle Threat Intelligence Group وMandiant. ويصف موريس هذه الظاهرة بأنها أصبحت «علمية» مثل الأرصاد الجوية، حيث يمكن التنبؤ بها بدقة.

أهمية التحذيرات المبكرة

أكد موريس أن كل يوم من التحذير المبكر يعد مهماً، حيث يمنح الفرق الأمنية فرصة لمنع الهجمات قبل حدوثها. وقال: «لم نصل بعد إلى مرحلة نtake هذه الأجهزة على محمل الجد، ولم نبدأ بعد باستبدالها بأجهزة أكثر أماناً».

وتشمل قائمة الموردين الذين رصدت GreyNoise نشاطاً مشبوهاً ضدهم شركات مثل Cisco وPalo Alto Networks وFortinet وIvanti وHPE وMicroTik وTP-Link وVMware وJuniper وF5 وNetgear وغيرها.