Вас предупреждали за 11 дней. Почему отчёты об уязвимостях всегда запаздывают
NewsMakerКак оказалось, хакеры оставляют следы задолго до первого удара.
Незаметные всплески активности в интернете могут предупреждать о серьёзных уязвимостях задолго до их раскрытия. Новый отчёт GreyNoise показывает , что злоумышленники часто начинают активно сканировать и атаковать инфраструктуру за дни и даже недели до официальных уведомлений о проблемах — и такие сигналы можно отследить заранее.
Анализ охватил 103 дня наблюдений и почти 148 миллионов сессий в сети сенсоров GreyNoise. Специалисты изучили поведение атакующего трафика для 18 производителей сетевого оборудования и обнаружили устойчивую закономерность: примерно в половине случаев резкий рост активности вокруг конкретного вендора заканчивался публикацией уязвимости в течение трёх недель. Вероятность такого совпадения оказалась на 36% выше случайной. Медианное опережение составило 11 дней.
Большинство сигналов появляется быстро. Почти половина всплесков фиксировалась за десять дней до раскрытия уязвимости, а 78% — в пределах трёх недель. В ряде случаев речь шла о критических проблемах с максимальным рейтингом. Например, для уязвимости Cisco с оценкой 10.0 активность начала расти за 18 дней до публикации, а аналогичные сигналы для решений VMware и MikroTik появлялись за 14–16 дней.
Исследование показывает, что ключевым индикатором служит не количество уникальных IP-адресов, а интенсивность трафика. Когда уже известные источники начинают резко увеличивать число запросов к продуктам одного вендора, вероятность скорого раскрытия уязвимости заметно возрастает. Дополнительный рост числа новых IP усиливает сигнал, но сам по себе надёжным предвестником не считается.
Незаметные всплески активности в интернете могут предупреждать о серьёзных уязвимостях задолго до их раскрытия. Новый отчёт GreyNoise показывает , что злоумышленники часто начинают активно сканировать и атаковать инфраструктуру за дни и даже недели до официальных уведомлений о проблемах — и такие сигналы можно отследить заранее.
Анализ охватил 103 дня наблюдений и почти 148 миллионов сессий в сети сенсоров GreyNoise. Специалисты изучили поведение атакующего трафика для 18 производителей сетевого оборудования и обнаружили устойчивую закономерность: примерно в половине случаев резкий рост активности вокруг конкретного вендора заканчивался публикацией уязвимости в течение трёх недель. Вероятность такого совпадения оказалась на 36% выше случайной. Медианное опережение составило 11 дней.
Большинство сигналов появляется быстро. Почти половина всплесков фиксировалась за десять дней до раскрытия уязвимости, а 78% — в пределах трёх недель. В ряде случаев речь шла о критических проблемах с максимальным рейтингом. Например, для уязвимости Cisco с оценкой 10.0 активность начала расти за 18 дней до публикации, а аналогичные сигналы для решений VMware и MikroTik появлялись за 14–16 дней.
Исследование показывает, что ключевым индикатором служит не количество уникальных IP-адресов, а интенсивность трафика. Когда уже известные источники начинают резко увеличивать число запросов к продуктам одного вендора, вероятность скорого раскрытия уязвимости заметно возрастает. Дополнительный рост числа новых IP усиливает сигнал, но сам по себе надёжным предвестником не считается.