Latar Belakang Jaringan Bisa Prediksi Kerentanan Perangkat Edge Berikutnya

Lonjakan Lalu Lintas sebagai Peringatan Dini

Penyerang jarang memanfaatkan kerentanan perangkat edge secara acak. Mereka biasanya memulai dengan surveilans dan pengintaian untuk menilai seberapa luas celah tersebut dapat dieksploitasi dan akses apa yang bisa didapat. Baru setelah itu, mereka melancarkan serangan untuk mencuri data atau mengganggu operasional. Aktivitas ini meninggalkan jejak berupa latar belakang kebisingan jaringan yang dapat dimanfaatkan sebagai sistem peringatan dini.

Menurut penelitian yang dilakukan GreyNoise dan dilaporkan secara eksklusif kepada CyberScoop, lonjakan lalu lintas yang menargetkan vendor tertentu sering kali muncul sebelum pengungkapan kerentanan resmi. Dalam studi selama 103 hari pada musim dingin lalu, GreyNoise menemukan bahwa sekitar 50% dari lonjakan aktivitas yang terdeteksi diikuti dengan pengungkapan kerentanan dari vendor yang sama dalam waktu tiga minggu.

Peneliti GreyNoise mencatat bahwa peringatan dini rata-rata muncul sembilan hari sebelum vendor merilis peringatan resmi kepada pelanggan.

"Hampir setiap kali kami melihat lonjakan besar dalam aktivitas pengintaian dan inventarisasi yang menargetkan perangkat tertentu, itu karena seseorang sudah mengetahui adanya kerentanan," kata Andrew Morris, pendiri dan arsitek utama GreyNoise. "Dalam hitungan hari atau minggu—biasanya sesuai dengan timeline pengungkapan bertanggung jawab—muncul kerentanan baru yang sangat berbahaya."

Perangkat Keamanan Jadi Sasaran Utama

GreyNoise mendeteksi 104 lonjakan aktivitas berbeda yang melibatkan 18 vendor selama periode studi. Perangkat-perangkat ini, termasuk router, VPN, firewall, dan sistem keamanan lainnya, kerap menjadi target utama eksploitasi.

"Penyerang sangat menyukai perangkat keamanan seperti appliance keamanan. Ironinya, hal ini sama sekali tidak membuat kita lebih serius dalam mengamankan perangkat tersebut," ujar Morris. "Masih belum cukup buruk bagi kita untuk mulai mengambil langkah serius, seperti mengganti perangkat lama dengan yang baru atau vendor yang berbeda."

GreyNoise menghubungkan lonjakan lalu lintas ini dengan sejumlah kerentanan yang diungkapkan oleh berbagai vendor, antara lain Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5, Netgear, dan lainnya.

"Ini semakin terbukti secara ilmiah dan lebih menyerupai meteorologi daripada hal yang misterius," kata Morris. "Sekarang ini sudah seperti jam yang berdetak."

Mengukur Intensitas dan Jangkauan Ancaman

GreyNoise menganalisis lonjakan lalu lintas ini untuk mengukur intensitas dan jangkauannya. Jumlah sesi menunjukkan seberapa keras sumber yang ada menyerang vendor tertentu, sementara jumlah IP sumber unik menunjukkan seberapa luas infrastruktur baru bergabung dalam aktivitas tersebut.

"Ketika intensitas dan jangkauan penargetan meningkat secara bersamaan, itu menandakan adanya eskalasi terkoordinasi," tulis laporan tersebut. "Jika Anda melihat lonjakan sesi terhadap salah satu vendor Anda dan IP sumber baru bergabung dalam waktu yang sama, anggap itu sebagai alasan kuat untuk meningkatkan kewaspadaan. Namun, jika hanya terjadi peningkatan IP tanpa lonjakan sesi, jangan langsung mengasumsikan akan ada kerentanan baru."

Pentingnya Peringatan Dini bagi Pertahanan

Studi GreyNoise ini memperkuat temuan dari penelitian lain oleh Verizon, Google Threat Intelligence Group, dan Mandiant. GreyNoise menekankan bahwa setiap hari peringatan dini sangat berharga bagi tim pertahanan untuk mempersiapkan diri sebelum serangan terjadi. Platform pemindaian tepi jaringan secara real-time ini mampu mendeteksi aktivitas mencurigakan sebelum kerentanan resmi diumumkan, memberikan waktu bagi organisasi untuk mengambil tindakan pencegahan.