インターネット活動の微妙な変動は、公開前の深刻な脆弱性の前兆指標として機能することができます。GreyNoiseの新興レポートは、攻撃者が公式セキュリティアドバイザリーの数日前、またはそれ以上前に、インフラに対する積極的なスキャンと偵察を頻繁に開始することを明かしています—事前に認識され追跡可能な信号です。
スマートデバイスセキュリティ
分析は103日間の観察とGreyNoiseセンサーネットワーク全体の約1億4800万セッションを網羅しました。専門家は18のネットワークハードウェアベンダーにわたる攻撃トラフィックの行動パターンを精査し、持続的な相関を発掘しました:約半数の場合、特定のベンダーに向けた活動の急激な急増は3週間以内の脆弱性の公開で終わりました。そのような収束の確率はランダムより36%高いことが判明し、平均リード時間は11日でした。
ほとんどの信号は注目すべき速さで現れます。急増の約半数は脆弱性の公開の10日前に記録されましたが、78%は3週間以内に発生しました。複数の場合、これらの信号は最大重要度を持つ重大な欠陥の前にありました。たとえば、10.0スコアを持つCisco脆弱性に関しては、活動は公開の18日前からエスカレートし始めましたが、VMwareおよびMikroTikソリューションの類似指標は14~16日前に現れました。
研究は、主な前兆はユニークIPアドレスのボリュームではなく、むしろトラフィックの強度であると主張しています。確立されたソースが特定のベンダーの製品への問い合わせ率を急に増幅させると、差し迫った脆弱性開示の可能性は大幅に増加します。新しいIPアドレスの同時上昇は信号を強化しますが、独立して信頼できる前兆と見なされません。
個別のケーススタディは独特の戦術的シナリオを示しています。前述の重大なCisco脆弱性の公開前に、活動は段階的な方法で急増しました—18日間にわたる5つの異なるエスカレーションの列。SonicWallの場合、「カウントダウン」パターンが観察されました。侵入間隔が公開日に近づくにつれて短縮されました。IvantiとFortinetの場合、公開の数日前に短くて激しいピークが記録されました。野生での実際の悪用のインスタンスを含みます。
インフラ分析は、これらのキャンペーンが個別のアクターではなく組織的な集団の成果であり、しばしば大規模なボットネットを活用していることを示唆しています。一部は数千のデバイスで構成される分散ネットワークを利用していますが、他は限定数の高負荷サーバーを採用しています。たまに、同じインフラが複数のベンダーを同時にターゲットにしているのが観察されました。これは高度に調整された操作を示しています。
レポートの著者は、これらの急増の出所は異なる可能性があることを強調しています—情報漏洩とパッチ分析から、異なる当事者による欠陥の独立した並列発見まで。それにもかかわらず、信号自体は堅牢なままです。異常な活動の監視は、脆弱性がまだ秘密に包まれている間でも、脅威を予期して防御を強化する機会を提供します。
ゼロデイ悪用分析
