Megismételhető mintázatok, állami hackerek
A GreyNoise elemzői a Global Observation Grid (GOG) hálózatának adataira támaszkodtak, 2024 szeptembere óta gyűjtve információkat. 216 jelentős támadáshullámot azonosítottak, amelyek közül különösen az Ivanti, a SonicWall, a Palo Alto Networks és a Fortinet eszközei voltak célkeresztben, míg a MikroTik, a Citrix és a Cisco kevésbé érintett. A háttérben gyakran állami szereplők állnak. A legtöbb támadó ismert, régi hibákat használt ki, hogy feltérképezze a támadható végpontokat, vagy előkészítse az utat egy későbbi, új sebezhetőséget kihasználó támadáshoz.
Előrejelzés és védekezési lehetőség
A védelmi oldalon rendszerint csak a CVE bejelentése után kezdődnek az intézkedések, ám a tapasztalatok alapján a támadók aktivitása jóval hamarabb jelzi a veszélyt. Ezek az előzetes jelek lehetőséget adnak a rendszergazdáknak: erősíthetik a felügyeletet, és idejében blokkolhatják a gyanús IP-címeket. Fontos, hogy a régebbi hibákra irányuló kereséseket se vegyük félvállról, hiszen ezek révén derülnek ki a külső hálózati rések.
Gyorsabb információk, kisebb „patch gap”
A Google bejelentése szerint mostantól egy héten belül nyilvánosságra hozzák, ha új sebezhetőséget találnak. Így a rendszergazdák még a javítás megjelenése előtt lépéseket tehetnek, miközben a támadók nem kapnak technikai részleteket, tehát a biztonság nem sérül. Az új MITRE ATT&CK tipológiák szerint a támadások 93%-át tíz fő technika adja, amelyek ellen célszerű stratégiát kidolgozni – különösen, miután a jelszókezelők elleni, „Tökéletes rablás” (Perfect Heist) típusú támadások száma háromszorosára nőtt.
