Ağlardaki 'Arka Plan Gürültüsü' Gelecek Büyük Cihaz Güvenlik Açığını Önceden Haber Verebilir

Saldırganlar, Hedeflerini Önceden Test Ediyor

Saldırganlar, kenar cihazlardaki güvenlik açıklarını rastgele kullanmaz. Genellikle önce zafiyetin yaygınlığını ve erişim düzeyini test eder, ardından veri hırsızlığı veya operasyon bozma eylemlerine geçer. Bu ön saldırı izleme ve planlama süreci, ağlarda belirgin bir gürültü bırakır.

Erken Uyarı Sistemi Olarak Ağ Gürültüsü

GreyNoise tarafından yapılan araştırmaya göre, bu sinyaller — özellikle belirli satıcılara yönelik trafik artışları — erken uyarı sistemi olarak işlev görebilir ve hatta kamuoyuna açıklanmadan önce yeni zafiyetleri haber verebilir. Araştırmada, 103 günlük bir dönemde tespit edilen aktivite artışlarının yaklaşık yarısının, aynı hedef satıcıdan üç hafta içinde bir güvenlik açığı açıklamasıyla sonuçlandığı belirlendi.

GreyNoise raporunda, araştırmacılar, ortalama uyarının, hedef satıcı müşterilerine resmi uyarı yayınlamasından dokuz gün önce geldiğini tespit etti. GreyNoise'un kurucusu ve baş mimarı Andrew Morris, konuyla ilgili şunları söyledi:

"Büyük ölçekli keşif ve envanter aktivitesi artışları gördüğümüzde, bunun nedeni genellikle bir zafiyetin bilinmesidir. Sorumlu açıklama süreci içinde, genellikle birkaç gün veya hafta içinde, yeni ve çok ciddi bir güvenlik açığı ortaya çıkar."

Her Gün Önemli: Savunma için Kritik Süre

GreyNoise, her bir günlük erken uyarının, savunuculara potansiyel saldırıları engellemek için değerli bir zaman kazandırdığını vurguluyor. Gerçek zamanlı ağ kenar tarama platformu, araştırma döneminde 18 farklı satıcıda 104 ayrı aktivite artışı tespit etti. Bu sistemler arasında yönlendiriciler, VPN'ler, güvenlik duvarları ve diğer güvenlik sistemleri yer alıyor ve bunlar en sık istismar edilen zafiyetlere sahip cihazlar olarak öne çıkıyor.

Güvenlik Cihazları Hedef Alınıyor

Morris, saldırganların neden güvenlik cihazlarını hedef aldığını şöyle açıklıyor:

"Saldırganlar, güvenlik cihazlarını hacklemeyi sever. Bunun ne kadar ironik olduğunu söylemeye gerek bile yok. Henüz bu cihazların güvenliğinin ciddiye alınmadığı bir noktadayız. Bu cihazların güvenliğinin yeterince ciddiye alınmadığını ve yeni cihazlarla veya satıcılarla değiştirilmesi gerektiğini düşünmüyoruz."

Piyasadaki Zafiyetler ve Trafik Artışları Arasındaki Bağlantı

GreyNoise, trafik artışlarını Cisco, Palo Alto Networks, Fortinet, Ivanti, HPE, MicroTik, TP-Link, VMware, Juniper, F5, Netgear ve diğer birçok satıcının piyasaya sürdüğü zafiyetlerle ilişkilendirdi. Morris, bu durumu şöyle değerlendiriyor:

"Bu durum artık bilimsel olarak kanıtlanmış ve gizem olmaktan çıkıp meteoroloji gibi öngörülebilir hale geldi. Bu, saat gibi işliyor."

Trafik Artışlarının Analizi

Araştırmacılar, trafik artışlarını yoğunluk ve kapsam açısından inceledi. Oturum sayısı, mevcut kaynakların belirli bir satıcıya ne kadar saldırdığını gösterirken, benzersiz kaynak IP sayıları da yeni altyapıların ne kadar geniş bir şekilde faaliyete katıldığını ortaya koyuyor. Raporda, "Yoğunluk ve hedefleme kapsamının aynı anda artması, koordineli bir saldırı sinyali verir" deniyor.

Araştırmacılar, şu önerilerde bulunuyor:

• Bir satıcınıza karşı oturum artışı gördüğünüzde ve aynı anda yeni kaynak IP'leri katıldığında, bunu daha dikkatli incelemek için yüksek güvenilir bir neden olarak değerlendirin.
• Sadece IP artışı görüldüğünde, bir zafiyetin geleceğini varsaymayın.

Araştırma Diğer Bulguları Destekliyor

Bu çalışma, Verizon, Google Threat Intelligence Group ve Mandiant tarafından yapılan diğer araştırmaları destekliyor. GreyNoise, araştırmanın "şimdiye kadarki en yoğun tehdit ortamlarından biri" sırasında yayınlandığını belirtiyor.