威胁行为体利用尝试激增预示新兴网络漏洞的早期预警

根据GreyNoise, Inc.发布的一项突破性报告，研究人员发现威胁行为体活动增加与企业边缘技术中新通用漏洞与暴露（CVE）的最终披露之间存在持续关联。

这项研究利用GreyNoise的全球观测网格（GOG）监控与恶意标签相关的每日唯一IP计数，数据自2024年9月起。这些标签包括跟踪扫描器、暴力破解尝试以及对CVSS评分6分及以上CVE的利用。

报告将“激增”定义为统计上显著的异常，要求每日IP计数在全球范围内超过历史中位数加两倍四分位距（IQR），在本地超过28天滚动均值加两倍滚动标准差。通过这一方法，报告筛选出八个供应商的216起此类事件。

值得注意的是，80%的激增事件在六周内伴随新CVE披露，其中50%在三周内发生，为防御者提供了关键的先发制人窗口。

GreyNoise报告揭示攻击者行为的预测性激增

这一模式自然出现在与面向互联网资产（如VPN、防火墙以及来自思科、Fortinet、Citrix、Ivanti等供应商的产品）相关的标签中，最初并未对企业技术设限。

研究人员指出，大多数激增涉及对已知漏洞的利用尝试，而非通用扫描，表明动机可能包括系统库存侦察或通过模糊输入发现零日漏洞。

例如，针对过时漏洞（如思科的CVE-2011-3315，一个14年前的漏洞）或Palo Alto Networks的CVE-2017-15944的激增，往往先于新披露，突显了遗留漏洞在攻击者工具包中的持久性。

这种行为与国家级行为体采用的策略一致，包括像台风这样的组织，他们优先考虑边缘基础设施以进行预置、监视和持久访问，提升了这些发现的国家安全相关性。

报告提出了几种驱动这些披露前激增的攻击者动机，包括通过广谱活动混淆以掩盖针对性侦察、预先清点暴露系统以备后续利用，以及主动漏洞发现努力。

防御者可以利用这六周的时间差，在激增期间阻止IP，以避免被纳入攻击者库存，即使后续利用使用不同来源。

这对于完全打补丁的系统尤其重要，因为激增可能信号探测发现新缺陷，挑战了仅靠打补丁就能确保安全的假设。

对于首席信息安全官（CISO）和分析师，这些见解支持主动措施：加强监控、强化边界，并在披露前合理分配资源。

虽然对于像Ivanti和Fortinet这样的供应商，相关性最强，激增与CVE紧密聚集，但对于其他如MikroTik和Citrix，由于准静止模式或过多的CVE量，异常值可能延长超过六周。

尽管如此，该方法论的严谨性，排除了嘈杂或不连续的标签，确保了高信号完整性，将反应性安全范式转变为预测性范式。

GreyNoise强调，这一趋势仅在企业边缘生态系统中观察到，使组织能够减轻机会主义和高级持久威胁的风险，可能在漏洞具体化前减少暴露。

觉得这新闻有趣！关注我们的Google News、LinkedIn和X获取即时更新！