GreyNoise: всплески вредоносной активности в 80% случаев предвосхищают появление новых уязвимостей в течение шести недель

GreyNoise: всплески вредоносной активности в 80% случаев предвосхищают появление новых уязвимостей в течение шести недель

Изображение: recraft

Компания GreyNoise представила результаты анализа своей глобальной системы мониторинга, продемонстрировав, что всплески вредоносной активности на сетевом периметре часто являются ранним индикатором появления новых уязвимостей. В документе говорится, что в 80% изученных случаев после таких событий в течение шести недель регистрировались новые CVE.

Исследование основано на данных, собранных с сентября 2024 года в рамках программы «Глобальная сеть наблюдений» (GOG). Как подчёркивается в отчёте, GreyNoise применяет объективные статистические методы и фильтрует шумовые и неоднозначные сигналы, чтобы избежать искажений. В результате анализа были отобраны 216 инцидентов, квалифицированных как значимые скачки активности, затронувшие устройства восьми корпоративных вендоров.

В документе указано, что в 50% случаев новые уязвимости появлялись в течение трёх недель после скачка активности, а в 80% — в течение шести. Особенно выраженной корреляция оказалась для продуктов Fortinet, Palo Alto Networks, SonicWall и Ivanti. Слабо выраженные зависимости наблюдались у решений от Cisco, Citrix и MikroTik.

GreyNoise подчёркивает, что большинство всплесков связаны с попытками эксплуатации уже известных уязвимостей. Однако в отчёте указывается, что такие действия могут не только демонстрировать текущие векторы атак, но и способствовать обнаружению новых уязвимостей, а также выявлению потенциальных целей для последующих атак с использованием ещё не раскрытых эксплойтов.

Как подчёркивается в документе, обычно защитные меры применяются только после публикации информации о CVE. Но статистика GreyNoise показывает, что мониторинг враждебной активности сам по себе может стать основой для проактивной защиты. Раннее выявление всплесков даёт организациям возможность заранее усилить защиту и улучшить наблюдаемость, даже если конкретный вектор атаки ещё неизвестен.

В отчёте также заявляется, что организации должны уделять особое внимание активности сканирования, не списывая её на попытки взлома устаревших уязвимостей. В документе подчёркивается, что именно такие «разведывательные» действия позволяют хакерам составлять карту потенциально уязвимых конечных точек и готовиться к более масштабным атакам.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: