How ExPRT.AI Predicts the Next Exploited Vulnerability | CrowdStrike

ExPRT.AI 内置于 Falcon Exposure Management 中，旨在消除噪音并优先处理那些带来最大风险的漏洞。

2024年披露了近40,000个漏洞。安全团队不堪重负，特别是那些依赖过时工具团队。内嵌于 CrowdStrike Falcon® Exposure Management 的本地智能引擎 ExPRT.AI，旨在帮助团队优先处理对他们而言最紧迫的漏洞。

大多数漏洞管理解决方案仍然依赖静态的 CVSS 分数和通用数据库。这些系统根据影响的严重性对漏洞进行排名，而不是根据对手是否积极瞄准它们。因此，防御者通常优先处理最高严重性的问题——即使在他们环境中一个较低严重性的漏洞正遭受攻击。这种方法导致修补队列冗长、资源分配不当以及紧急风险被忽视。

没有真实世界的对手遥测数据，大多数漏洞管理工具与攻击者行为脱节。它们向后看的威胁信息流只在对手行动后才评估风险。由于自动化程度浅，它们的分类仍然依赖于手动规则、标记和猜测。

与此同时，对手的速度越来越快：CrowdStrike 2025 威胁狩猎报告发现，电子犯罪突破时间已降至最低51秒。SCATTERED SPIDER 从账户接管到勒索软件仅用了24小时。

ExPRT.AI 不仅仅是给漏洞评分。它利用实时对手信号、观察到的攻击行为以及基于 CrowdStrike 专有威胁情报训练的 AI，来预测哪些漏洞将被利用。借助 ExPRT.AI，安全团队可以更快地采取行动，修复对其环境最关键漏洞。

ExPRT.AI 如何知道攻击者将利用什么

ExPRT.AI 采用了与仍然依赖静态严重性评级、统计预测和传统扫描基础设施的传统扫描工具根本不同的方法。它使用基于 CrowdStrike Counter Adversary Operations 多年威胁情报训练的 AI，结合观察到的漏洞利用行为以及跨端点、云工作负载和身份的全球遥测数据。其结果是产生一个动态、透明且前瞻性的可利用性评分，该评分指示攻击者下一步最可能瞄准的目标。

虽然 CVSS 分数是一个重要因素，但决定优先修补补丁不应仅基于此分数。事实上，攻击者有时偏爱较低严重性的漏洞，特别是在链式漏洞利用时——这种方法允许对手通过将多个漏洞组合成一次攻击来实现远程代码执行。

正如 CrowdStrike 2025 全球威胁报告中所解释的，漏洞利用链破坏了许多企业遵循的基于严重性评分的修补过程。虽然预认证漏洞会收到带外补丁并且通常被优先修补，但相关的后认证漏洞利用受到的关注较少，可能被忽略。这可能在以后与不同的漏洞链接起来再次实现 RCE。

除非组织解决多个漏洞的根本原因，否则威胁行为者可以重新利用类似技术并快速开发绕过初始缓解措施的替代方案。有鉴于此，在确定修补优先级时了解漏洞的背景至关重要。

ExPRT.AI 在真实攻击者技术的背景下评估漏洞。而且它每天都在变得更智能。

预测机制：ExPRT.AI 模型内部

ExPRT.AI 经过训练，可以根据漏洞在现实世界中被利用的可能性对其进行排名。该模型由 CrowdStrike 多年的专有威胁情报、对手技术和实时遥测数据提供支持，它不问“这个漏洞在理论上有多严重？”，而是问“攻击者真的会使用这个吗？”

为了回答这个问题，ExPRT.AI 评估了一系列行为和环境因素，包括：

• 受影响软件在全球环境中的部署广泛程度
• 漏洞利用技术是否公开或已被武器化
• 执行的难易程度（例如，无需用户交互、远程代码执行）
• 是否支持对手目标，如持久化、横向移动或权限提升

利用这些信息，它分享每个漏洞在现实世界中的可利用性，以便团队能够专注于最可能被用来攻击他们的漏洞。

可利用性评分如何生成

每个漏洞都使用一组精心策划的与对手相关的信号进行评估。这些输入是攻击者兴趣、意图和机会的指标，它们直接映射到对防御者重要的结果。

下面列出的信号是基于我们在现实世界漏洞利用活动中持续观察到的，是一些最具影响力和预测性的信号。它们代表了 ExPRT.AI 用于评估可利用性的更广泛输入集合的一个子集。

• 漏洞利用活动：CrowdStrike 追踪在野漏洞利用。如果攻击者已经在使用某个漏洞，ExPRT.AI 会优先处理它。
• 对手工具重用：ExPRT.AI 识别包含在恶意软件工具包、攻击性安全工具和活跃活动基础设施中的漏洞。这有助于安全团队检测和修补那些已经在攻击者工作流程中投入使用的缺陷。
• 软件普及度：受影响软件的部署范围越广，该漏洞对寻求规模的对手就越有吸引力。通过考虑普及度，ExPRT.AI 帮助团队优先处理攻击者更可能跨环境瞄准的漏洞。
• 补丁可用性：ExPRT.AI 评估补丁是否存在以及其被采用的广泛程度。这有助于防御者专注于那些仍然是可行攻击载体的暴露。
• 攻击向量：虽然 ExPRT.AI 超越了 CVSS，但它仍然包含关键向量，如攻击复杂性、所需权限和用户交互。这确保了可利用性评分反映漏洞的真实利用潜力。
• CrowdStrike Threat Graph®：每个评分都通过来自 CrowdStrike Threat Graph 的实时全球遥测和对手情报进行丰富。这使 ExPRT.AI 能够了解攻击者跨端点、身份、云工作负载等的活动。

这些信号共同产生一个每日更新、全球一致的可利用性评分。但 ExPRT.AI 并不止步于一个数字——它还提供了驱动结果的前几个权重因素的透明解释。这使分析师有信心采取行动，并让领导层了解为什么某些漏洞需要优先处理。

观看 ExPRT.AI 光板视频，了解原始漏洞利用数据、威胁情报和攻击者行为如何流经模型以提供精确、可操作的优先级排序：

[视频链接]

由 AI 原生的 Falcon 平台提供支持

ExPRT.AI 原生嵌入在 Falcon Exposure Management 中，并从 CrowdStrike Falcon® 平台交付，该平台是 CrowdStrike 的 AI 原生基础，实时连接端点、身份、云和威胁情报。它由驱动整个平台检测、调查和自动响应的相同 AI 和遥测数据提供支持。

Falcon 平台的功能使 ExPRT.AI 用户能够：

• 知道先修复什么：当 ExPRT.AI 与 Falcon 的 AI 驱动资产关键性结合时，团队可以看到哪些漏洞可能被利用以及为什么这对业务重要。Falcon Exposure Management 利用实时 Falcon 平台数据，揭示那些处于可利用性和业务影响交叉点的漏洞。
• 加速分类和事件响应：因为 ExPRT.AI 是 Falcon 平台的一部分，可利用性背景信息会立即出现在检测和 SOC 工作流中，与端点、身份和威胁情报数据并列。分析师从一开始就能获得全貌，无需挖掘数据或依赖额外工具。
• 简化修复：ExPRT.AI 可利用性评分和背景直接流入 Falcon 平台仪表板、CrowdStrike Falcon® Next-Gen SIEM、工单系统以及 CrowdStrike Falcon® Fusion SOAR 剧本中，因此团队无需在工具间切换或手动重新确定优先级。所有内容在团队和工作流之间保持同步，因为它们都构建在同一平台上。
• 获取实时威胁背景：因为 ExPRT.AI 使用来自 CrowdStrike Threat Graph 的实时数据持续更新，每个优先级决策都反映了攻击者当时正在做什么。这种全球遥测数据来自数百万传感器和追踪对手的操作。

这就是在 AI 原生平台上的漏洞优先级排序：内置智能、实时背景和第一天的运营价值。

客户影响：从噪音到精确

使用 ExPRT.AI 的组织在风险降低、修复速度和运营效率方面看到了可衡量、可重复的成果。例如，Intermex 通过将 ExPRT.AI 与 AI 驱动的资产关键性相结合，实现了其 DMZ 中关键漏洞减少 98%，并简化了整个修补工作流程。

在 CrowdStrike 客户中，ExPRT.AI 已显示出可以：

• 聚焦精确度：ExPRT.AI 帮助团队将 95% 的修复精力集中在最可能被利用的仅 5% 的漏洞上。
• 推动整合：组织通过将传统扫描工具和孤立的风险平台整合到 Falcon Exposure Management 中，可节省高达 30 万美元。
• 提升运营效率：FEM 客户通过消除手动分类、冗余修补和误报，每年可回收多达 2,000 小时。
• 减少事件：得益于 AI 驱动的漏洞利用预测，客户报告需要漏洞分析的事件减少了多达 50%。

更智能、更明智的修补

我们继续在漏洞管理领域创新。在 Fal.Con 2025 上，我们首次推出了 Exposure Prioritization Agent，这是为强化代理化 SOC 而构建的几个新 AI 代理之一。Exposure Prioritization Agent 用通俗语言总结漏洞，使用 Falcon 平台遥测验证其可利用性，将其影响映射到业务关键资产，并交付一个优先的、高置信度的列表，指明应先修复什么。

即将在 CrowdStrike Falcon® for IT 中推出的基于风险的修补，旨在缩小安全团队和 IT 团队之间的差距。Falcon Exposure Management 依赖对手活动和攻击路径来确定漏洞的优先级，而基于风险的修补则通过使用具有补丁安全评分和传感器智能的 AI 驱动修补来修复风险，从而基于此信息采取行动。

随着 CrowdStrike 引领代理化安全平台的下一个网络安全时代，Falcon Exposure Management 将提供实时的、基于风险的优先级排序，该排序由支持 CrowdStrike® Charlotte AI™ 和代理化 SOC 自动化的相同情报提供支持。

其他资源

下载本指南，迈出第一步，采用更智能、更快速、更具弹性的方法来管理组织的暴露面：Beyond the Scan: An Ultimate Buyer’s Guide to Modern Exposure Management。

了解更多关于 Falcon Exposure Management 如何帮助您发现和管理环境中的漏洞及其他暴露面。 要了解有关 Falcon Exposure Management 功能的更多信息，请访问我们的 Tech Hub。

1. https://nvd.nist.gov/vuln/search#/nvd/home?resultType=statistics
2. https://www.crowdstrike.com/en-us/resources/customer-stories/intermex/
3. 这些数字是基于客户在售前阶段提供的记录指标，比较 CrowdStrike 与客户现有解决方案的价值，得出的平均效益的预估估计值。实际实现的价值将取决于个体客户的模块部署和环境。