كشفت دراسة حديثة أن الهجمات الإلكترونية على الأجهزة الطرفية غالبًا ما تسبقها مرحلة استطلاع ومراقبة مكثفة، مما يترك بصمات رقمية يمكن أن تعمل كنظام إنذار مبكر. وتشير الأبحاث إلى أن هذه الإشارات، خاصة تلك المتعلقة بزيادات مفاجئة في حركة المرور الموجهة نحو بائعين معينين، يمكن أن تنبئ بالثغرات الأمنية المكتشفة قبل وقت طويل من الإعلان عنها رسمياً.
أظهرت الدراسة، التي أجرتها شركة GreyNoise، أن ما يقرب من نصف أنشطة الاستطلاع التي رصدتها الشركة خلال فترة 103 أيام، شهدت بعد ذلك إعلانًا عن ثغرة أمنية من قبل البائع المستهدف خلال ثلاثة أسابيع. وتعتبر هذه النتائج ذات أهمية قصوى لتعزيز الاستعدادات الأمنية ضد الهجمات السيبرانية.
الإنذار المبكر للثغرات الأمنية
وفقًا للنتائج التي شاركتها GreyNoise، فإن الكشف المبكر عن الثغرات الأمنية بات يتمتع بمنطق علمي ودقة متزايدة. ويوفر هذا التنبؤ المبكر فرصة ثمينة للمدافعين لاتخاذ الإجراءات اللازمة لحماية الأنظمة قبل وقوع الهجمات.
أشار أندرو موريس، مؤسس كبير المهندسين في GreyNoise، إلى أن الزيادات الكبيرة في أنشطة الاستطلاع والمخزون التي تستهدف أجهزة معينة تشير غالبًا إلى وجود معرفة مسبقة بثغرة أمنية. وأضاف أن هذه الظاهرة أصبحت أشبه بالساعة، حيث تتبعها غالبًا إصدارات ثغرات خطيرة ضمن الأطر الزمنية للإفصاح المسؤول.
الأنظمة الطرفية الأكثر استهدافًا
رصدت منصة GreyNoise، وهي منصة لمسح الحافة الشبكية في الوقت الفعلي، 104 زيادة مميزة في نشاط الاستطلاع خلال فترة الدراسة، مستهدفة 18 بائعًا. تضمنت هذه الأجهزة الطرفية أجهزة التوجيه، وشبكات VPN، وجدران الحماية، وأنظمة أمنية أخرى، والتي تعد من أكثر الأهداف شيوعًا للثغرات الأمنية.
يشكل استهداف الأجهزة الأمنية irony كبير في عالم الأمن السيبراني. وأوضح موريس أن هذا الوضع لا يعكس قلة الوعي بخطورة تأمين هذه الأجهزة، بل قد يعود إلى عدم وصول الضرر إلى مستوى يتطلب استبدال هذه الأنظمة بأخرى أحدث أو من موردين مختلفين.
تحليل أنماط الهجمات السيبرانية
ربطت GreyNoise بين زيارات حركة المرور المفاجئة ومجموعة من الثغرات الأمنية التي كشف عنها بائعون بارزون في السوق، بما في ذلك Cisco، و Palo Alto Networks، و Fortinet، و Ivanti، و HPE، و MicroTik، و TP-Link، و VMware، و Juniper، و F5، و Netgear، وغيرها.
تعتمد GreyNoise في تحليلها على قياس شدة واتساع نطاق هذه الزيادات في حركة المرور. تظهر أعداد الجلسات ومدى كثافة المصادر الحالية التي تهاجم بائعًا محددًا، بينما توضح أعداد عناوين IP الفريدة مدى اتساع البنية التحتية الجديدة التي تنضم إلى النشاط، حسبما ذكر الباحثون في التقرير.
ويشير التقرير إلى أن زيادة كل من كثافة الاستهداف واتساعه في وقت واحد، يعد مؤشرًا على تصعيد منسق. ومن الجدير بالذكر أن هذا النشاط يحدث استجابةً لاكتشاف هذه الثغرات، وليس محض صدفة أو ترفيه.
تدعم هذه الدراسة بحثًا آخر من Verizon، و Google Threat Intelligence Group، و Mandiant، مما يؤكد ما تسميه GreyNoise “أكثر فترات استغلال الأجهزة الطرفية عدوانية على الإطلاق”. ويرى الخبراء أن هذا النشاط المتزايد يمثل تحديًا كبيرًا يتطلب يقظة مستمرة واستجابات سريعة لضمان استمرارية الأمن السيبراني.