Siber güvenlik araştırmacıları, kuruluşların ortaya çıkan tehditlere nasıl hazırlandıklarını devrim yaratabilecek çığır açan bir model ortaya çıkardılar.
Kapsamlı bir analiz, Enterprise Edge teknolojilerine karşı kötü niyetli saldırgan etkinliğindeki artışların, yeni güvenlik açığı açıklamaları için güvenilir erken uyarı sinyalleri olarak hizmet ettiğini ve savunuculara sıfır gün istismarlarından önce savunmalarını güçlendirmek için kritik bir fırsat penceresi sağladığını ortaya koyuyor.
Araştırma, analiz edilen vakaların yüzde 80’inde, belirli Edge teknolojilerine karşı fırsatçı saldırgan faaliyetlerinde önemli artışların, altı hafta içinde aynı teknolojiyi etkileyen yeni bir ortak güvenlik açıklarının ve maruziyetlerinin (CVE) ifşa edilmesi izlediğini göstermektedir.
Bu öngörücü örüntü, Cisco, Fortinet, Citrix, Ivanti, Palo Alto Networks, Juniper, Mikrotik ve Sonicwall gibi sekiz büyük işletme satıcısında gözlemlenen 216 istatistiksel olarak anlamlı aktivite artışlarının analizinden ortaya çıktı.
Bu keşfi özellikle ilgili kılan şey, bu ön saldırıların çoğunun basit keşif taraması yerine daha önce bilinen güvenlik açıklarına karşı gerçek istismar girişimlerini içermesidir.
Grinnoise analistleri, saldırganların CVE-2011-3315’i etkileyen CVE-2011-3315 ve Palo-2017-15944’ü de dahil olmak üzere, miras kusurlarının nasıl kaldığını gösteren Palo-2017-3315 de dahil olmak üzere bu başak dönemlerinde sık sık şaşırtıcı derecede eski güvenlik açıklarından yararlandığını belirledi.
Bu kalıpları tespit etmenin arkasındaki teknik metodoloji, belirli teknolojileri hedefleyen günlük benzersiz IP adreslerinin sofistike istatistiksel analizini içerir.
Araştırmacılar, çift kriterleri kullanarak ani artışları tanımladılar: günlük aktivitenin medyanı aştığı küresel yükseklik artı çeyrekler arası aralığın iki katı ve 28 günlük haddeleme ortalamasını aşan yerel yükseklik artı iki standart sapmayı aştı.
Bu matematiksel yaklaşım, xt > median(x) + 2 × IQR(x) küresel sivri uçlar için ve xt > μ(t-14, t+14) + 2σ(t-14, t+14) Yerel anomaliler için hem istatistiksel önemi hem de pratik alaka düzeyini sağlar.
Gelişmiş keşif ve ön konumlandırma taktikleri
Başak desenleri, fırsatçı taramanın çok ötesine uzanan sofistike saldırgan metodolojilerini ortaya koyuyor. Analiz, bu faaliyetlerin yeni istismarlar kamuya açık hale gelmeden önce savunmasız sistemleri envanter yapmak için tasarlanmış sistematik keşif kampanyalarını temsil etmektedir.
Saldırganlar, bilinen istismarları problama mekanizmaları, test sistemi yanıtları ve daha sonra taze güvenlik açıkları ortaya çıktığında hedeflenebilecek maruz kalan varlıkları kataloglamak olarak kullanıyor gibi görünüyor.
Bu keşif stratejisi, tehdit aktörleri için birçok amaca hizmet vermektedir. Saldırganlar, başak dönemlerinde mevcut güvenlik açıklarından yararlanarak, yeni saldırı modellerine eşlik edebilecek aynı savunma yanıtı tetiklemeden potansiyel olarak savunmasız altyapıyı belirleyebilirler.
Bu kampanyalar sırasında oluşturulan duyarlı sistemlerin envanteri, yeni CVES açıklandığında paha biçilmez hale gelir ve daha önce tanımlanmış hedeflerin hızlı bir şekilde kullanılmasına izin verir.
Saldırganlar, mevcut korumaları etkisiz hale getirebilecek gelecekteki güvenlik açığı keşiflerini öngördüğü için, bu aşamalar sırasında tamamen yamalı sistemler bile kataloglanabilir.
Kurumsal güvenliğin etkileri derindir, çünkü bu model savunuculara eşi görülmemiş 3-6 haftalık hazırlık penceresi sağlıyor.
Kuruluşlar, yeni tehditler gerçekleşmeden önce gelişmiş izleme, sistem sertleştirme ve stratejik kaynak tahsisi gibi proaktif önlemleri uygulamak için bu erken uyarı sinyallerinden yararlanabilir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin