Yeni güvenlik açıklarının yüzde 80’inden önce ağda anormal hareketlilik gözleniyor
GreyNoise tarafından yayımlanan araştırma, güvenlik açıkları (CVE) kamuoyuna açıklanmadan önce geçen haftalarda ağ taramaları, brute-force saldırıları ve keşif faaliyetlerinde belirgin artış yaşandığını ortaya koydu. Bu davranışsal örüntü, saldırganların yeni açıklar ortaya çıkmadan önce hazırlık yaptığını gösteriyor.
GreyNoise Analizi: Güvenlik Açığı Duyuruları Öncesinde Ağ Trafiğinde Anormal Artış
Siber tehdit istihbarat firması GreyNoise, 2024 yılından bu yana topladığı verilerle gerçekleştirdiği analizde, güvenlik açıkları kamuya duyurulmadan önce geçen altı haftalık sürede ağ trafiğinde olağan dışı bir artış olduğunu tespit etti. Şirketin verilerine göre, incelenen olayların %80’inde, CVE (Common Vulnerabilities and Exposures) açıklamaları öncesinde saldırgan faaliyetlerinde ani sıçramalar yaşanıyor.
Araştırmada kullanılan veriler, GreyNoise’un küresel tarama verileri sağlayan Global Observation Grid (GOG) platformundan elde edildi. İstatistiksel güvenilirlik sağlamak adına düşük kaliteli ve gürültülü veriler analiz dışı bırakıldı ve toplam 216 anormal trafik olayı değerlendirmeye alındı. Bu olaylar, aralarında Ivanti, SonicWall, Palo Alto Networks, Fortinet, MikroTik, Citrix ve Cisco gibi sekiz büyük uç ağ cihazı üreticisini kapsıyor.
GreyNoise, “İncelediğimiz 216 trafik artışının %50’si üç hafta içinde, %80’i ise altı hafta içinde yeni bir güvenlik açığı duyurusu ile sonuçlandı.” açıklamasında bulundu.
Eski Açıklar Taranıyor, Yeni Saldırılar Hazırlanıyor
Araştırmacılara göre bu trafik artışları genellikle daha önce bilinen açıklara yönelik taramalardan oluşuyor. Ancak bu taramaların amacı sadece bu eski açıkları sömürmek değil, aynı zamanda yeni zafiyetlerin keşfi ya da ağa açık sistemlerin haritalanması gibi sonraki aşamalar için zemin hazırlamak.
Savunma İçin Erken Uyarı Mekanizması
GreyNoise, bu tür trafik artışlarının savunma ekipleri için bir tür “erken uyarı” niteliği taşıdığını belirtiyor. Bu sayede, bir güvenlik yaması yayınlanmamış olsa dahi sistem yöneticileri önceden hazırlık yapabiliyor, izleme sistemlerini güçlendirebiliyor ve riskli IP’leri kara listeye alabiliyor.
Özellikle devlet destekli tehdit gruplarının, uç nokta cihazlarını ilk erişim ve kalıcılık amacıyla hedef aldığı biliniyor. Bu da ağ üzerindeki anormal hareketliliklerin göz ardı edilmemesi gerektiğini gösteriyor.
Google Project Zero’dan Paralel Adım
Bu gelişmeyle eş zamanlı olarak, Google’ın Project Zero ekibi de önemli bir politika değişikliğini duyurdu. Buna göre yeni bir güvenlik açığı tespit edildiğinde, artık teknik detay verilmeden yalnızca hangi ürünün etkilendiği, ne zaman keşfedildiği ve açıklama süresi gibi temel bilgiler bir hafta içinde kamuoyuyla paylaşılacak. Amaç, yazılım tedarikçileri güncelleme hazırlarken sistem yöneticilerinin savunmasını hızla güçlendirebilmesini sağlamak.
Kaynak: CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
