Greynoise, Inc.
Eylül 2024’ten itibaren verileri kapsayan çalışma, Grinnoise’in küresel gözlem ızgarasını (GOG), izleme tarayıcıları, kaba kuvvet girişimleri ve CVSS puanları 6 veya daha yüksek CV’lerin sömürülmesi de dahil olmak üzere günlük benzersiz IP sayılarını izlemek için kullanıyor.
Bir “sivri”, günlük IP sayısının hem tarihsel medyan artı küresel olarak iki katı (IQR) iki katını aşmasını gerektiren istatistiksel olarak anlamlı bir anomali olarak tanımlayarak ve 28 günlük haddeleme ortalaması artı Raporun lokal olarak iki katı, sekiz satıcı boyunca bu tür olayları filtreledi.
Dikkat çekici bir şekilde, bu ani artışların% 80’ini altı hafta içinde yeni bir CVE açıklaması izledi,% 50’si üç hafta içinde meydana geldi ve savunuculara kritik bir önleyici pencere sundu.
Geynoise Report, saldırgan davranışında öngörücü ani artışları ortaya çıkarır
Desen organik olarak, VPN’ler, güvenlik duvarları ve Cisco, Fortinet, Citrix, Ivanti ve diğerleri gibi satıcılardan gelen ve işletme teknolojilerine ilk kısıtlamalar olmadan ürünlerden bağlantılı etiketlerden ortaya çıktı.
Araştırmacılar, çoğu ani, jenerik tarama yerine bilinen güvenlik açıklarına karşı istismar girişimlerini içerdiğini ve sıfır günleri ortaya çıkarmak için sistem envanteri için keşif veya girdileri bulanıklaştırma gibi nedenler önerdiğini belirtti.
Örneğin, Cisco’nun CVE-2011-3315 (14 yaşındaki bir güvenlik açığı) veya Palo Alto Networks’ün CVE-2017-15944 gibi modası geçmiş kusurları hedefleyen sivri uçlar, genellikle yeni açıklamalardan önce, saldırgan araçlarda miras güvenlik açıklıklarının kalıcılığını vurgulayarak.
Bu davranış, ön konumlandırma, gözetim ve kalıcı erişim için kenar altyapısına öncelik veren Typhoons gibi gruplar da dahil olmak üzere devlet destekli aktörler tarafından kullanılan taktiklerle uyumludur.
Savunma önerileri
Raporda, hedeflenen keşifleri maskelemek için geniş spektrumlu aktivite yoluyla gizlenme, daha sonraki sömürü için maruz kalan sistemlerin önleyici envanteri ve aktif güvenlik açığı keşif çabaları da dahil olmak üzere bu ön bildirim ani artışları yönlendiren çeşitli saldırgan motivasyonlarını ortaya koymaktadır.
Savunucular, daha sonraki istismarlar farklı kaynaklar kullansa bile, saldırgan stoklarına dahil edilmesini önlemek için sivri uçlar sırasında IP’leri engelleyerek bu altı haftalık deltadan yararlanabilir.
Bu, tamamen yamalı sistemler için hayati önem taşır, çünkü sivri uçlar yeni kusurları ortaya çıkaran problamaya işaret edebilir ve tek başına yamanın güvenliği sağladığı varsayımına meydan okur.
Baş Bilgi Güvenliği Görevlileri (CISOS) ve analistler için, içgörüler proaktif önlemleri mümkün kılar: izlemeyi geliştirmek, sertleştiricilerin sertleştirilmesi ve açıklamalardan önce kaynak tahsisini haklı çıkarmak.
Korelasyon, Ivanti ve Fortinet gibi satıcılar için CVES ile sıkı bir şekilde kümelenen satıcılar için en güçlü olsa da, aykırı değerlerin yarı-durgun kalıpları veya aşırı CVE hacimleri nedeniyle altı haftadan fazla uzandığı Mikrotik ve Citrix gibi diğerleri için değişir.
Bununla birlikte, metodolojinin titizliği, gürültülü veya süreksiz etiketler hariç, yüksek sinyal bütünlüğü sağlar ve reaktif güvenlik paradigmalarını öngörücü olanlara dönüştürür.
Grinnoise, sadece kurumsal kenar ekosistemlerinde gözlemlenen bu eğilimin, kuruluşlara fırsatçı ve gelişmiş kalıcı tehditlerden kaynaklanan riskleri azaltma ve güvenlik açıkları gerçekleşmeden önce maruz kalmayı potansiyel olarak azaltmalarını sağladığını vurgulamaktadır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!