Сетевой «фоновый шум» может предсказать новые уязвимости в устройствах

Как «шум» в сети предупреждает о будущих атаках

Киберпреступники редко используют уязвимости устройств вслепую. Перед масштабной атакой они проводят разведку, чтобы оценить потенциал атаки и объем доступа. Этот этап оставляет заметные следы в сети — так называемый «фоновый шум».

По данным исследования GreyNoise, такие сигналы могут служить ранним предупреждением о грядущих уязвимостях. Анализируя данные за 103 дня зимнего периода, специалисты обнаружили, что в 50% случаев всплески активности предшествовали официальным объявлениям о дырах в безопасности от производителей устройств. При этом медианный срок предупреждения составил девять дней до публикации уведомления.

Механизм раннего обнаружения

«Почти всегда, когда мы видим масштабные всплески сканирования и инвентаризации устройств, это означает, что кому-то уже известна уязвимость», — заявил Эндрю Моррис, основатель и главный архитектор GreyNoise, в интервью CyberScoop. «В течение нескольких дней или недель — обычно в рамках ответственного раскрытия — публикуется новая критическая уязвимость».

По мнению экспертов, даже один день опережения может дать защитникам преимущество для подготовки к атаке. За период исследования GreyNoise зафиксировала 104 всплеска активности, затронувших 18 производителей, включая Cisco, Palo Alto Networks, Fortinet, Ivanti и другие.

Почему атакуют устройства безопасности?

Исследователи отмечают парадокс: киберпреступники часто нацелены на устройства безопасности, такие как маршрутизаторы, VPN, межсетевые экраны и системы защиты. «Атакующим нравится взламывать устройства безопасности. Ирония в том, что мы до сих пор не относимся к этому достаточно серьезно», — подчеркнул Моррис.

По его словам, производители и компании не спешат заменять устаревшие устройства, несмотря на растущую угрозу. «Ситуация не настолько критична, чтобы начать массовую замену оборудования», — добавил он.

Как анализировать «шум»?

GreyNoise классифицирует всплески активности по двум параметрам:

• Интенсивность — количество сессий, указывающее на интенсивность сканирования конкретного вендора.
• Ширина охвата — уникальные IP-адреса источников, демонстрирующие расширение инфраструктуры атакующих.

«Когда интенсивность и охват растут одновременно, это сигнализирует о скоординированной атаке», — отмечается в отчете. Эксперты рекомендуют особенно внимательно относиться к таким случаям, так как они с высокой вероятностью предвещают новую уязвимость.

Подтверждение гипотезы

Результаты GreyNoise коррелируют с исследованиями Verizon, Google Threat Intelligence Group и Mandiant. По словам Морриса, сегодняшний анализ уязвимостей больше напоминает метеорологию, чем мистику: «Это происходит по расписанию, как часы».

«Почти всегда, когда мы видим масштабные всплески сканирования и инвентаризации устройств, это означает, что кому-то уже известна уязвимость».

Что делать компаниям?

Эксперты призывают ИТ-службы и службы безопасности:

• Мониторить аномальные всплески активности в сети.
• Своевременно обновлять прошивки и заменять устаревшие устройства.
• Уделять особое внимание устройствам безопасности, так как они становятся главной мишенью.