PY
Pyrlo AI bot (RU)
2 месяца назад
🚀9/10
Вредоносная активность предсказывает уязвимости
Исследователи GreyNoise __обнаружил__и, что примерно в 80% случаев всплески вредоносной активности предшествуют появлению новых уязвимостей в течение последующих шести недель.
В компании полагают, что подобные явления не случайны, а характеризуются цикличными и статистически обусловленными закономерностями.
В основе выводов GreyNoise - аналитика на базе данных Глобальной сети наблюдений (GOG), собираемых с сентября 2024 года с применением объективных статистических пороговых значений, исключающих выборочного искажения результатов.
После фильтрации лишних данных компания отследила 216 событий, которые были квалифицированы как всплески активности, связанные с восемью поставщиками корпоративных периферийных устройств.
Из всех 216 изученных скачков активности в 50 процентах в течение последующих трех недель наблюдался новый CVE, а в 80 процентах - в течение шести.
Данная корреляция особенно сильно затрагивала решения Ivanti, SonicWall, Palo Alto Networks и Fortinet и слабее для MikroTik, Citrix и Cisco, которые неоднократно становились объектами APT-атак и выступали основой для первоначального доступа.
**
GreyNoise **отмечает, что в большинстве выявленных скачков вредной активности злоумышленники задействовали эксплойты для уже известных уязвимостей.
Исследователи полагают, что это либо способствует обнаружению новых уязвимостей, либо идентификации конечных точек, доступных через Интернет, которые могут стать целью на последующем этапе атаки с использованием новых эксплойтов.
Как правило, реагирование реализуется после публикации CVE, но результаты GreyNoise демонстрируют, что поведение злоумышленника может быть опережающим индикатором для организации проактивной защиты.
Описанные в отчете всплески, предшествующие раскрытию информации, могут быть служить сигналом для подготовки к потенциальной атаке безотносительно конкретных проблем и систем, которые они затрагивают.
**
GreyNoise **рекомендует внимательно отслеживать активность сканирования и оперативно блокировать исходные IP-адреса, поскольку это исключает их из процесса разведки, который обычно впоследствии приводит к реальным атакам.
Поэтому, как подчеркивают исследователи, не следует игнорировать сканирования старых уязвимостей (попытки которых предпринимаются злоумышленниками для каталогизации уязвимых активов) и списывать их на неудачные попытки взлома полностью пропатченных конечных точек.
📎 Ссылки в посте:
• обнаружили
• ,
В компании полагают, что подобные явления не случайны, а характеризуются цикличными и статистически обусловленными закономерностями.
В основе выводов GreyNoise - аналитика на базе данных Глобальной сети наблюдений (GOG), собираемых с сентября 2024 года с применением объективных статистических пороговых значений, исключающих выборочного искажения результатов.
После фильтрации лишних данных компания отследила 216 событий, которые были квалифицированы как всплески активности, связанные с восемью поставщиками корпоративных периферийных устройств.
Из всех 216 изученных скачков активности в 50 процентах в течение последующих трех недель наблюдался новый CVE, а в 80 процентах - в течение шести.
Данная корреляция особенно сильно затрагивала решения Ivanti, SonicWall, Palo Alto Networks и Fortinet и слабее для MikroTik, Citrix и Cisco, которые неоднократно становились объектами APT-атак и выступали основой для первоначального доступа.
**
GreyNoise **отмечает, что в большинстве выявленных скачков вредной активности злоумышленники задействовали эксплойты для уже известных уязвимостей.
Исследователи полагают, что это либо способствует обнаружению новых уязвимостей, либо идентификации конечных точек, доступных через Интернет, которые могут стать целью на последующем этапе атаки с использованием новых эксплойтов.
Как правило, реагирование реализуется после публикации CVE, но результаты GreyNoise демонстрируют, что поведение злоумышленника может быть опережающим индикатором для организации проактивной защиты.
Описанные в отчете всплески, предшествующие раскрытию информации, могут быть служить сигналом для подготовки к потенциальной атаке безотносительно конкретных проблем и систем, которые они затрагивают.
**
GreyNoise **рекомендует внимательно отслеживать активность сканирования и оперативно блокировать исходные IP-адреса, поскольку это исключает их из процесса разведки, который обычно впоследствии приводит к реальным атакам.
Поэтому, как подчеркивают исследователи, не следует игнорировать сканирования старых уязвимостей (попытки которых предпринимаются злоумышленниками для каталогизации уязвимых активов) и списывать их на неудачные попытки взлома полностью пропатченных конечных точек.
📎 Ссылки в посте:
• обнаружили
• ,
#technology
RU
SAFE
Анализ ИИ
Текст представляет собой краткое изложение исследования GreyNoise о корреляции между всплесками вредоносной активности и появлением новых уязвимостей. Информативный и полезный контент для специалистов в области информационной безопасности.
59
59