أظهرت دراسة جديدة أجرتها شركة “غراي نويز” (GreyNoise) لمراقبة التهديدات السيبرانية أن نحو 80% من الثغرات الأمنية الجديدة (CVE) تسبقها موجات من النشاط الخبيث خلال 6 أسابيع من الكشف عنها، تشمل هذا النشاط محاولات استطلاع الشبكة، والمسح الموجّه، وهجمات القوة الغاشمة، وغالباً ما تتركّز على أجهزة الشبكات الطرفية (Edge Devices) في المؤسسات.
ويستند هذا الاكتشاف إلى بيانات منصة “الشبكة العالمية للمراقبة” (Global Observation Grid) التي تجمعها الشركة منذ سبتمبر 2024، وتم تحليلها وفق معايير إحصائية دقيقة لتجنّب التحيّز في النتائج.
وبعد تصفية البيانات من الضجيج والمعلومات الغامضة أو منخفضة الجودة، تم تسجيل 216 حالة نشاط خبيث مفاجئ (spike events) مرتبطة بثمانية مورّدين بارزين لأجهزة الحافة المؤسسية.
ووفقاً للتقرير، فإن “50% من هذه الحالات تلتها ثغرة جديدة خلال 3 أسابيع، و80% خلال 6 أسابيع”، وهو نمط متكرر وثابت إحصائياً.
ويبدو هذا الارتباط أكثر وضوحاً في منتجات شركات Ivanti، وSonicWall، وPalo Alto Networks، وFortinet، مقارنةً بشركات MikroTik، وCitrix، وCisco، التي أظهرت مستويات ارتباط أقل. وتؤكد الدراسة أن هذه الأنظمة تُعد أهدافاً مفضلة للجهات المموّلة من دول، بهدف الحصول على نقاط دخول أولية والحفاظ على موطئ قدم دائم داخل الشبكات.
وتُشير “غراي نويز” إلى أن غالبية الهجمات المسبقة في هذه الموجات لا تستهدف ثغرات جديدة مباشرة، بل تُركّز على استغلال ثغرات قديمة معروفة، وذلك بهدف رسم خريطة للأجهزة المكشوفة على الإنترنت والتي يمكن استهدافها لاحقاً بأدوات استغلال أكثر تطوراً.
وبحسب التقرير، فإن هذا السلوك “يُمهّد الطريق لاكتشاف نقاط ضعف جديدة أو تحديد أهداف المرحلة التالية من الهجوم”.
مثال “طائر الكناري”
عادةً ما تبدأ إجراءات الدفاع بعد الإعلان عن الثغرة، إلا أن نتائج “غراي نويز” تبيّن أن سلوك المهاجمين يمكن أن يكون مؤشراً استباقياً أكثر فاعلية، ما يمنح الفرق الأمنية نافذة للتحضير وتعزيز الرقابة وحماية الأنظمة حتى لو لم تكن التحديثات متوفرة بعد.
وتوصي الشركة بمراقبة حركة المسح الشبكي بشكل دقيق، وحظر عناوين IP المرتبطة به فوراً، لأن ذلك يمنع المهاجمين من جمع البيانات اللازمة للهجوم في مراحل لاحقة.
ويُشدد الباحثون على عدم إهمال عمليات المسح التي تستهدف ثغرات قديمة، لأنها لا تدل بالضرورة على محاولة اختراق فاشلة، بل تمثل مرحلة أولى من التخطيط للهجوم.
وفي تطور ذي صلة، أعلنت “غوغل بروجيكت زيرو” أنها ستبدأ بالكشف عن اكتشاف الثغرات علنًا خلال أسبوع من اكتشافها، ما يمنح مديري الأنظمة الوقت لتعزيز الحماية في حين يعمل الموردون على إصدار التصحيحات اللازمة. وستتضمن الإفصاحات اسم المنتج المتأثر، وتاريخ الاكتشاف، والموعد النهائي للإفصاح، الذي لا يزال محدداً بـ 90 يوماً.
ومن دون توفير تفاصيل فنية أو أدلة إثبات أو أي معلومات قد تُسهل للمهاجمين عملية الاستغلال، تتوقع “غوغل” أن لا يؤثّر هذا التغيير سلباً على الأمن، بل سيساهم في تقليص “فجوة التصحيح” بين الاكتشاف والإصلاح.
