רעש ברשת עשוי לחזות את הפגיעויות הבאות במכשירי קצה

תוקפים אינם ממהרים לנצל פגיעויות במכשירי קצה באופן אקראי. לרוב הם מבצעים בדיקות מקדימות כדי להעריך את היקף הפגיעות ואת רמת הגישה שתאפשר להם, בטרם יפעלו לגניבת נתונים או לשיבוש פעילות. שלב ההכנה הזה מותיר אחריו 'רעש ברשת' — אותות שניתן לזהותם ולנתחם. לפי מחקר שפורסם על ידי GreyNoise, אותות אלה עשויים לשמש כאזהרה מוקדמת להתגלות פגיעויות חדשות, לעיתים אף לפני פרסומן הרשמי.

במהלך מחקר בן 103 ימים בחורף האחרון, זיהתה GreyNoise כי כמחצית מזינוקי הפעילות שנמדדו לוותה בפרסום פגיעות על ידי אותו ספק תוך שלושה שבועות. החוקרים קבעו כי האזהרה המוקדמת הגיעה בממוצע תשעה ימים לפני פרסום ההתראות ללקוחות על ידי הספקים הנפגעים.

אזהרה מוקדמת היא קריטית

«בכל פעם שאנו מזהים זינוקים בהיקף הסריקות והפעילויות המכוונות למכשיר מסוים, הדבר מעיד כי מישהו יודע על פגיעות קיימת», אמר אנדרו מוריס, מייסד ומנהל הטכנולוגיות הראשי ב-GreyNoise, ל-CyberScoop. «בתוך ימים או שבועות — לרוב במסגרת חלון הגילוי האחראי — מתפרסמת פגיעות חמורה ביותר», הוסיף.

GreyNoise מדגישה כי כל יום מקדים חשוב להגנה מפני תקיפות עתידיות. הפלטפורמה שלה לסריקת קצה רשת בזמן אמת זיהתה 104 זינוקים נפרדים בפעילות בקרב 18 ספקים במהלך תקופת המחקר. מערכות משובצות אלה, הכוללות נתבים, VPN, חומות אש ומערכות אבטחה אחרות, מהוות מטרה נפוצה לתקיפות בשל הפגיעויות בהן.

הפרדוקס של מכשירי האבטחה

«תוקפים אוהבים לפרוץ מכשירי אבטחה», אמר מוריס. «הפרדוקס בכך לא נעלם ממני כלל». הוא הוסיף כי למרות הסיכונים, תעשיית האבטחה עדיין אינה נוקטת בצעדים מספקים כדי להתמודד עם האיום, כגון החלפת מכשירים מיושנים או מעבר לספקים חדשים.

במחקר נקשרו זינוקי התעבורה למספר רב של פגיעויות שפורסמו על ידי ספקים מובילים בשוק, בהם סיסקו, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5, Netgear ועוד. «הדבר הופך למדעי ואמפירי יותר, ויותר דומה לחיזוי מזג אוויר מאשר לתעלומה», אמר מוריס. «זהו כעת מנגנון שפועל כמו שעון».

איך לזהות אזהרות מוקדמות?

GreyNoise מפרקת את זינוקי התעבורה למדדים של עוצמה וטווח. ספירת הפגישות מצביעה על עוצמת ההכאה של מקורות קיימים על ספק מסוים, בעוד שמספר כתובות IP ייחודיות מראה עד כמה תשתיות חדשות מצטרפות לפעילות. «כאשר גם העוצמה וגם הטווח של ההתקפה גדלים בו-זמנית, הדבר מצביע על הסלמה מתואמת», נכתב בדו"ח. «כאשר מזהים זינוק בפעילות נגד אחד מספקייך יחד עם הצטרפות כתובות IP חדשות, יש להתייחס לכך כסיבה בעלת אמינות גבוהה לבדיקה מעמיקה יותר. לעומת זאת, זינוק בכתובות IP בלבד אינו מעיד בהכרח על פגיעות קרבה».

המחקר נתמך על ידי ממצאים נוספים מ-Verizon, קבוצת האיום של גוגל (Google Threat Intelligence Group) ו-Mandiant, ופורסם בתקופה המכונה על ידי GreyNoise «התקופה הפעילה ביותר של גילויים אחרונים».