攻撃者がエッジデバイスの脆弱性を無差別に悪用することはめったにありません。通常、彼らはまず脆弱性がどの程度広く利用でき、どの程度のアクセスが可能かをテストしてから、データを盗むか業務を中断するかに進みます。
攻撃前の監視と計画は多くのノイズを残します。これらのシグナル、特に特定のベンダーを狙ったトラフィックのスパイクは、GreyNoiseがCyberScoopと公開前に独占的に共有した研究によると、公開脆弱性開示に先立つことが多く、初期警告システムとして機能する可能性があります。
GreyNoiseが昨冬の103日間の調査中に検出した活動サージのおよそ半分は、3週間以内に同じターゲットベンダーから脆弱性開示が続いたとGreyNoiseは報告書で述べています。
研究者たちは、差し迫った脆弱性開示の中央値の警告がターゲットベンダーが顧客に公開警告を発行する9日前に到着したことを決定しました。
「特定のデバイスを探すための偵察とインベントリ活動の大規模なスパイクを見るたびに、それは誰かが脆弱性について知っているからです」とGreyNoiseの創設者兼チーフアーキテクトであるAndrew MorrisはCyberScoopに述べました。
「数日または数週間以内に – 通常は責任ある開示のタイムライン内で – 新しい非常に悪い脆弱性が出てきます」と彼は付け加えました。
GreyNoiseは、事前通知の毎日が重要であると主張し、防御者に攻撃が発生する前に潜在的な攻撃に対抗し、阻止する機会を与えます。
リアルタイムネットワークエッジスキャニングプラットフォームは、調査期間中に18のベンダー全体で104の異なる活動サージを検出しました。ルーター、VPN、ファイアウォール、その他のセキュリティシステムを含むこれらの組み込みシステムは、一貫して最も一般的に悪用される脆弱性を占めています。
「攻撃者はセキュリティアプライアンスのようなセキュリティデバイスのハッキングが大好きです。その皮肉は私には全く失われていません」とMorrisは言いました。
「これまで、これらのデバイスのセキュリティを真剣に受け止め始めるほど状況が悪化していません」と彼は付け加えました。「これらを引き出して新しいデバイスまたは新しいベンダーに置き換えるほど真剣に受け止めるほど悪化していません。」
GreyNoiseは、トラフィックサージを、Cisco、Palo Alto Networks、Fortinet、Ivanti、HPE、MicroTik、TP-Link、VMware、Juniper、F5、Netgearなどを含む市場全体のベンダーによって開示された脆弱性の群れにリンクしました。
「それはますます科学的で経験的になっており、神秘主義よりも気象学のようになっています」とMorrisは言いました。「これは今、時計仕掛けのようです。」
GreyNoiseはこれらのトラフィックサージを分解して強度と幅を測定します。セッション数は既存のソースが特定のベンダーをどの程度激しく攻撃しているかを示し、ユニークなソースIPの数は新しいインフラストラクチャがアクティビティにどの程度広く参加しているかを示しています。研究者は報告書に記載しています。
「標的化の強度と幅が同時に増加した場合、それは調整されたエスカレーションを示します」と報告書は述べました。
「ベンダーの1つに対するセッションスパイクと同時に新しいソースIPが参加するのを見た場合、それをより詳しく調査する高い信頼の理由として扱います。IPスパイクのみを見た場合は、脆弱性が来ていると仮定しないでください」と研究者は付け加えました。
この研究は、Verizon、Google Threat Intelligence Group、Mandiantからの他の研究を支持しています。これはGreyNoiseが「記録上のエッジデバイス悪用の最も積極的な時期」と呼ぶ期間中に発表されました。
このアクティビティは真空中では発生せず、脅威グループはEdgeデバイスにトラフィックを無料でまたは娯楽目的で流しているわけではないとMorrisは述べています。
「人々はインターネットの背景ノイズをこの説明不可能な現象のように扱う傾向があります」と彼は言いました。「彼らは明らかにシステムを侵害するために脆弱性の存在をテストしようとしています。」
