Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Вас предупреждали за 11 дней. Почему отчёты об уязвимостях всегда запаздывают

leer en español

GreyNoise Cisco Fortinet Ivanti SonicWall уязвимости сканирование
Вас предупреждали за 11 дней. Почему отчёты об уязвимостях всегда запаздывают
GreyNoise Cisco Fortinet Ivanti SonicWall уязвимости сканирование

Как оказалось, хакеры оставляют следы задолго до первого удара.

image

Незаметные всплески активности в интернете могут предупреждать о серьёзных уязвимостях задолго до их раскрытия. Новый отчёт GreyNoise показывает, что злоумышленники часто начинают активно сканировать и атаковать инфраструктуру за дни и даже недели до официальных уведомлений о проблемах — и такие сигналы можно отследить заранее.

Анализ охватил 103 дня наблюдений и почти 148 миллионов сессий в сети сенсоров GreyNoise. Специалисты изучили поведение атакующего трафика для 18 производителей сетевого оборудования и обнаружили устойчивую закономерность: примерно в половине случаев резкий рост активности вокруг конкретного вендора заканчивался публикацией уязвимости в течение трёх недель. Вероятность такого совпадения оказалась на 36% выше случайной. Медианное опережение составило 11 дней.

Большинство сигналов появляется быстро. Почти половина всплесков фиксировалась за десять дней до раскрытия уязвимости, а 78% — в пределах трёх недель. В ряде случаев речь шла о критических проблемах с максимальным рейтингом. Например, для уязвимости Cisco с оценкой 10.0 активность начала расти за 18 дней до публикации, а аналогичные сигналы для решений VMware и MikroTik появлялись за 14–16 дней.

Исследование показывает, что ключевым индикатором служит не количество уникальных IP-адресов, а интенсивность трафика. Когда уже известные источники начинают резко увеличивать число запросов к продуктам одного вендора, вероятность скорого раскрытия уязвимости заметно возрастает. Дополнительный рост числа новых IP усиливает сигнал, но сам по себе надёжным предвестником не считается.

Отдельные случаи демонстрируют характерные сценарии. Перед публикацией критической уязвимости Cisco активность росла ступенчато — серия из пяти всплесков за 18 дней. В случае SonicWall наблюдался «обратный отсчёт», когда интервалы между атаками сокращались по мере приближения раскрытия. Для Ivanti и Fortinet фиксировались короткие, но интенсивные пики за несколько дней до публикации, включая случаи эксплуатации в реальных атаках.

Анализ инфраструктуры показал, что за такими кампаниями стоят не случайные источники, а организованные группы, часто использующие ботнеты. Одни применяют распределённые сети с тысячами устройств, другие — небольшое число серверов с высокой нагрузкой. В некоторых случаях одна и та же инфраструктура применялась для атак сразу на несколько вендоров, что указывает на координированные операции.

Авторы отчёта подчёркивают, что причина таких всплесков может различаться: от утечек информации и анализа обновлений до параллельного обнаружения уязвимостей разными сторонами. Однако сам сигнал остаётся стабильным. Наблюдение за аномальной активностью даёт возможность заранее подготовиться к угрозе — даже если сама уязвимость ещё не раскрыта.