Nghiên cứu đột phá từ GreyNoise, Inc. đã chỉ ra mối liên hệ nhất quán giữa sự gia tăng hoạt động của các tác nhân đe dọa và việc tiết lộ các lỗ hổng CVE (Common Vulnerabilities and Exposures) mới trong các công nghệ biên doanh nghiệp. Đây là một phát hiện quan trọng, cung cấp một tín hiệu sớm đáng giá trong lĩnh vực threat intelligence.
Điều này mang lại một cái nhìn sâu sắc về cách các hoạt động tấn công có thể báo hiệu trước các lỗ hổng CVE nghiêm trọng, cho phép các tổ chức chủ động hơn trong phòng thủ và củng cố an ninh mạng.
Phân Tích Tín Hiệu Sớm về Lỗ Hổng CVE
Báo cáo của GreyNoise, dựa trên dữ liệu từ tháng 9 năm 2024 trở đi, sử dụng Hệ thống Giám sát Toàn cầu (GOG) của mình để theo dõi.
GOG giám sát số lượng IP duy nhất hàng ngày liên quan đến các thẻ độc hại. Các thẻ này bao gồm máy quét, các nỗ lực tấn công vét cạn (brute-force) và các hoạt động khai thác các lỗ hổng CVE có điểm CVSS từ 6 trở lên.
Sự theo dõi này không chỉ giới hạn ở các hoạt động khai thác mới nhất mà còn bao gồm cả các nỗ lực nhằm vào các lỗ hổng đã được biết đến từ lâu.
Phương Pháp Định Lượng “Đỉnh Điểm” Hoạt Động
Một “đỉnh điểm” (spike) trong hoạt động được định nghĩa là một sự bất thường có ý nghĩa thống kê.
Điều này yêu cầu số lượng IP hàng ngày phải vượt quá mức trung vị lịch sử cộng với hai lần khoảng tứ phân vị (IQR) trên toàn cầu.
Đồng thời, số lượng IP cũng phải vượt quá mức trung bình động 28 ngày cộng với hai lần độ lệch chuẩn động cục bộ.
Sử dụng tiêu chí này, báo cáo đã lọc ra tổng cộng 216 sự kiện đỉnh điểm như vậy trên các sản phẩm từ tám nhà cung cấp khác nhau.
Các sự kiện này tự nhiên xuất hiện từ các thẻ liên quan đến tài sản hướng Internet như VPN, tường lửa, và các sản phẩm từ các nhà cung cấp hàng đầu như Cisco, Fortinet, Citrix, Ivanti, và nhiều hãng khác.
Ban đầu, không có giới hạn nào được đặt ra cho các công nghệ doanh nghiệp cụ thể, cho thấy một xu hướng rộng khắp.
Mối Tương Quan Giữa Hoạt Động Tấn Công và Lỗ Hổng Mới
Một phát hiện then chốt là 80% các đỉnh điểm hoạt động này được theo sau bởi việc tiết lộ một lỗ hổng CVE mới trong vòng sáu tuần.
Đặc biệt hơn, 50% số này xảy ra chỉ trong vòng ba tuần. Điều này cung cấp cho các nhà phòng thủ một “cửa sổ” phòng ngừa sớm cực kỳ quan trọng.
Các nhà nghiên cứu nhận thấy rằng hầu hết các đỉnh điểm liên quan đến các nỗ lực khai thác các lỗ hổng đã biết, thay vì các hoạt động quét chung chung.
Điều này gợi ý động cơ như trinh sát để lập danh mục hệ thống hoặc kiểm tra lỗi (fuzzing inputs) nhằm khám phá các lỗ hổng zero-day chưa từng được biết đến.
Ví dụ điển hình là các đỉnh điểm nhắm mục tiêu vào các lỗ hổng cũ, như CVE-2011-3315 của Cisco (một lỗ hổng đã 14 năm tuổi) hoặc CVE-2017-15944 của Palo Alto Networks.
Những hoạt động này thường xuất hiện trước các tiết lộ lỗ hổng mới, nhấn mạnh sự dai dẳng của các lỗ hổng kế thừa trong bộ công cụ của kẻ tấn công và tầm quan trọng của việc cập nhật bản vá.
Để hiểu rõ hơn về nghiên cứu này, bạn có thể tham khảo báo cáo chính thức từ GreyNoise: GreyNoise – Early Warning Signals Attacker Behavior Precedes New Vulnerabilities Report.
Động Cơ Tấn Công và Ý Nghĩa Đối Với Chiến Lược An Ninh Mạng
Báo cáo đã phân tích một số động cơ của kẻ tấn công thúc đẩy các đỉnh điểm hoạt động này trước khi các lỗ hổng được tiết lộ chính thức.
Các Chiến Thuật Tấn Công và Mục Tiêu
Các động cơ chính bao gồm việc che giấu thông qua hoạt động phổ rộng nhằm che đậy trinh sát mục tiêu cụ thể. Một lý do khác là lập danh mục sớm các hệ thống bị phơi nhiễm để chuẩn bị cho việc khai thác sau này.
Ngoài ra, các nỗ lực chủ động khám phá lỗ hổng cũng là một yếu tố quan trọng, cho thấy kẻ tấn công đang tìm kiếm các điểm yếu mới.
Hành vi này phù hợp với các chiến thuật được các tác nhân được nhà nước bảo trợ sử dụng, bao gồm các nhóm như Typhoons.
Các nhóm này thường ưu tiên cơ sở hạ tầng biên để định vị trước, tiến hành giám sát và duy trì quyền truy cập dai dẳng vào các mạng mục tiêu.
Ứng Dụng Thực Tiễn Cho Các Chuyên Gia Bảo Mật
Đối với các giám đốc an toàn thông tin (CISO) và các nhà phân tích bảo mật, những hiểu biết này mang lại khả năng áp dụng các biện pháp chủ động.
Các biện pháp này bao gồm tăng cường giám sát các hoạt động bất thường, củng cố các vành đai bảo mật, và hợp lý hóa việc phân bổ nguồn lực.
Việc này được thực hiện trước khi có các tiết lộ về lỗ hổng, giúp giảm thiểu rủi ro ngay từ đầu.
Mặc dù mối tương quan mạnh nhất đối với các nhà cung cấp như Ivanti và Fortinet, nơi các đỉnh điểm gắn kết chặt chẽ với các lỗ hổng CVE, nó lại thay đổi đối với những hãng khác như MikroTik và Citrix.
Với MikroTik và Citrix, các điểm bất thường có thể kéo dài hơn sáu tuần do các mô hình gần như ổn định hoặc số lượng CVE quá lớn trong quá khứ.
Tuy nhiên, sự chặt chẽ của phương pháp luận, bằng cách loại trừ các thẻ nhiễu hoặc không liên tục, đảm bảo tính toàn vẹn tín hiệu cao.
Điều này chuyển đổi các mô hình bảo mật phản ứng truyền thống thành các mô hình dự đoán, nâng cao khả năng phát hiện tấn công và phòng ngừa rủi ro.
Chiến Lược Phòng Thủ Chủ Động
Các nhà phòng thủ có thể tận dụng khoảng thời gian “delta” sáu tuần này bằng cách chủ động chặn các IP có liên quan đến các đỉnh điểm hoạt động bất thường.
Điều này giúp ngăn chặn việc các hệ thống của họ bị đưa vào danh mục của kẻ tấn công, ngay cả khi các cuộc khai thác sau đó sử dụng các nguồn IP khác.
Tăng Cường Khả Năng Phòng Ngừa Rủi Ro
Chiến lược này đặc biệt quan trọng đối với các hệ thống đã được vá lỗi hoàn toàn.
Các đỉnh điểm hoạt động có thể báo hiệu việc thăm dò dẫn đến việc phát hiện ra các lỗ hổng mới, thách thức giả định rằng việc vá lỗi một mình sẽ đảm bảo an toàn tuyệt đối.
GreyNoise nhấn mạnh rằng xu hướng này, chỉ được quan sát thấy trong các hệ sinh thái biên doanh nghiệp, giúp các tổ chức giảm thiểu rủi ro từ cả các mối đe dọa cơ hội và các mối đe dọa dai dẳng tiên tiến (APT).
Khả năng này cho phép giảm thiểu mức độ phơi nhiễm trước khi các lỗ hổng bảo mật thực sự được công bố, tạo lợi thế đáng kể cho các đội ngũ an ninh mạng.
Tầm Quan Trọng của Threat Intelligence
Nghiên cứu này là một minh chứng mạnh mẽ cho giá trị của việc theo dõi và phân tích dữ liệu hoạt động của kẻ tấn công như một thành phần cốt lõi của threat intelligence.
Việc liên tục theo dõi và phân tích dữ liệu này là chìa khóa để duy trì một tư thế an toàn thông tin chủ động, giúp các tổ chức đối phó hiệu quả hơn với các mối đe dọa mạng.
