ExPRT.AI如何预测下一个被利用的漏洞

本文详细介绍CrowdStrike Falcon Exposure Management中的ExPRT.AI技术,该AI模型通过实时对手信号、攻击行为观察和专有威胁情报训练,能够预测哪些漏洞最可能被攻击者利用,帮助安全团队优先处理高风险漏洞。

How ExPRT.AI Predicts the Next Exploited Vulnerability | CrowdStrike

overwhelmed, especially those relying on outdated tools. ExPRT.AI, the native intelligence engine embedded in CrowdStrike Falcon® Exposure Management, is built to help teams prioritize which vulnerabilities are most urgent for them.

大多数漏洞管理解决方案仍然依赖静态CVSS分数和通用数据库。这些系统根据影响的严重性对漏洞进行排名,而不是根据对手是否积极针对它们。因此,防御者通常会优先处理最高严重性问题——即使在他们环境中一个较低严重性的漏洞正在遭受攻击。这种方法导致修补队列冗长、资源分配不当以及紧急风险被忽视。

没有真实世界的对手遥测数据,大多数漏洞管理工具与攻击者行为脱节。它们向后看的威胁源仅在对手行动后评估风险。凭借浅薄的自动化,它们的分类仍然依赖于手动规则、标记和猜测。

与此同时,攻击者正在加速:CrowdStrike 2025威胁狩猎报告发现,电子犯罪突破时间已降至低至51秒。SCATTERED SPIDER从账户接管到勒索软件仅加速至24小时。

ExPRT.AI不仅仅是对漏洞评分。它使用实时对手信号、观察到的攻击行为以及在CrowdStrike专有威胁情报上训练的AI,预测哪些漏洞将被利用。借助ExPRT.AI,安全团队可以更快地采取行动修复对其环境最关键的漏洞。

How ExPRT.AI Knows What Attackers Will Exploit

ExPRT.AI采用与传统扫描工具根本不同的方法,后者仍然依赖静态严重性评级、统计预测和传统扫描基础设施。它使用在CrowdStrike Counter Adversary Operations多年威胁情报上训练的AI,结合观察到的利用行为和跨端点、云工作负载及身份的全球遥测数据。结果是动态、透明且前瞻性的可利用性评分,指示攻击者最可能接下来瞄准的目标。

虽然CVSS分数是一个重要因素,但决定优先修补不应仅基于此分数。事实上,攻击者有时偏爱较低严重性的漏洞,特别是在链式漏洞利用时——这种方法允许对手通过将多个漏洞组合成单一攻击来实现远程代码执行(RCE)。

正如CrowdStrike 2025全球威胁报告中所解释,漏洞链式利用破坏了许多企业遵循的基于严重性分数的修补流程。虽然预认证漏洞接收带外补丁并通常优先修补,但相关的后认证漏洞利用受到的关注较少,可能被忽略。这可能允许该漏洞利用以后与不同的漏洞链接再次实现RCE。

除非组织解决多个漏洞的根本原因,否则威胁行为者可以重新利用类似技术并快速开发绕过初始缓解措施的替代方案。鉴于此,在优先排序修补时理解漏洞的上下文至关重要。

ExPRT.AI在真实攻击者技术的上下文中评估漏洞。并且它每天都在变得更智能。

The Mechanics of Prediction: Inside the ExPRT.AI Model

ExPRT.AI经过训练,根据漏洞在现实世界中被利用的可能性对其进行排名。该模型由CrowdStrike多年专有威胁情报、对手技术和实时遥测数据驱动,它不问“这个漏洞在理论上有多糟糕?”而是问“攻击者真的会使用这个吗?”

为了回答这个问题,ExPRT.AI评估一系列行为和环境因素,包括:

  • 受影响软件在全球环境中的部署广泛程度
  • 利用技术是否公开或已经武器化
  • 执行难度(例如,无需用户交互、远程代码执行)
  • 是否支持对手目标,如持久化、横向移动或权限提升

利用这些信息,它分享每个漏洞的现实世界可利用性,以便团队专注于可能被用来攻击他们的漏洞。

图1. 深入探讨CVE-2025-4664的详细信息页面,展示ExPRT.AI评分、利用活动和上下文威胁因素,以指导快速优先级排序。

How the Exploitability Score Is Created

每个漏洞使用一组精心策划的对手对齐信号进行评估。这些输入是攻击者兴趣、意图和机会的指标,它们直接映射到对防御者重要的结果。

下面列出的信号是基于我们在现实世界利用活动中持续观察到的,是一些最具影响力和预测性的信号。它们代表了ExPRT.AI用于评估可利用性的更广泛输入集合的一个子集。

  • 利用活动:CrowdStrike跟踪野外漏洞利用。如果攻击者已经在使用某个漏洞,ExPRT.AI会优先处理它。
  • 对手工具重用:ExPRT.AI识别包含在恶意软件工具包、攻击性安全工具和活跃活动基础设施中的漏洞。这有助于安全团队检测和修补已经在攻击者工作流程中操作化的缺陷。
  • 软件普及度:受影响软件的部署越广泛,该漏洞对寻求规模的对手就越有吸引力。通过考虑普及度,ExPRT.AI帮助团队优先处理攻击者更可能跨环境瞄准的漏洞。
  • 补丁可用性:ExPRT.AI评估补丁是否存在及其被采纳的广泛程度。这有助于防御者专注于仍然是可行攻击向量的暴露。
  • 攻击向量:虽然ExPRT.AI超越了CVSS,但它仍然包含关键向量,如攻击复杂性、所需权限和用户交互。这确保可利用性评分反映漏洞的真实利用潜力。
  • CrowdStrike Threat Graph®:每个评分都通过CrowdStrike Threat Graph的实时全球遥测和对手情报进行丰富。这使ExPRT.AI能够洞察跨端点、身份、云工作负载等的攻击者活动。

这些信号共同产生每日更新、全球一致的可利用性评分。但ExPRT.AI不止于一个数字——它还提供驱动结果的顶部加权因素的透明解释。这使分析师有信心采取行动,并使领导层了解为什么某些漏洞优先。

观看ExPRT.AI光板视频,了解原始利用数据、威胁情报和攻击者行为如何通过模型流动,以提供精确、可操作的优先级排序:

Powered by the AI-Native Falcon Platform

ExPRT.AI原生嵌入在Falcon Exposure Management中,并从CrowdStrike Falcon®平台交付,该平台是CrowdStrike的AI原生基础,实时连接端点、身份、云和威胁情报。它由驱动整个平台检测、调查和自动响应的相同AI和遥测数据提供动力。

Falcon平台的功能使ExPRT.AI用户能够:

  • 知道首先修复什么:当ExPRT.AI与Falcon的AI驱动资产关键性配对时,团队可以看到可能被利用的内容以及为什么它对业务重要。Falcon Exposure Management利用实时Falcon平台数据,揭示可利用性和业务影响相交的漏洞。
  • 加速分类和事件响应:因为ExPRT.AI是Falcon平台的一部分,可利用性上下文立即出现在检测和SOC工作流程中,与端点、身份和威胁情报数据并列。分析师从一开始就获得全貌,无需挖掘数据或依赖额外工具。
  • 简化修复:ExPRT.AI可利用性评分和上下文直接流入Falcon平台仪表板、CrowdStrike Falcon® Next-Gen SIEM、票务系统和CrowdStrike Falcon® Fusion SOAR playbooks,因此团队无需在工具之间跳转或手动重新排序。所有内容在团队和工作流程之间保持同步,因为它都构建在同一平台上。
  • 获得实时威胁上下文:因为ExPRT.AI通过CrowdStrike Threat Graph的实时数据持续更新,每个优先级决策都反映了攻击者在该时刻的行动。这种全球遥测数据来自数百万传感器和对手跟踪操作。

这就是在AI原生平台上的漏洞优先级排序的样子:内置智能、实时上下文和第一天的运营价值。

Customer Impact: From Noise to Precision

使用ExPRT.AI的组织在风险降低、修复速度和运营效率方面看到了可衡量、可重复的结果。例如,Intermex通过将ExPRT.AI与AI驱动资产关键性结合,在其DMZ中实现了关键漏洞减少98%,简化了整个修补工作流程。

在CrowdStrike客户中,ExPRT.AI已显示:

  • 聚焦精确度:ExPRT.AI帮助团队将95%的修复工作集中在仅5%最可能被利用的漏洞上。
  • 推动整合:组织通过将传统扫描工具和孤立的风险平台整合到Falcon Exposure Management中,可节省高达30万美元。
  • 提升运营效率:FEM客户通过消除手动分类、冗余修补和误报,每年回收高达2,000小时。
  • 减少事件:客户报告由于AI驱动的利用预测,需要漏洞分析的事件减少了高达50%。

Smarter, Informed Patching

我们继续在漏洞管理方面创新。在Fal.Con 2025上,我们首次推出了Exposure Prioritization Agent,这是为强化代理SOC构建的几个新AI代理之一。Exposure Prioritization Agent以通俗语言总结漏洞,使用Falcon平台遥测验证其可利用性,将其影响映射到业务关键资产,并交付一个优先排序的、高置信度的首先修复列表。

即将在CrowdStrike Falcon® for IT中推出的基于风险的修补,旨在缩小安全和IT团队之间的差距。Falcon Exposure Management依赖对手活动和攻击路径来优先排序漏洞,而基于风险的修补通过使用具有补丁安全评分和传感器智能的AI驱动修补来修复风险,从而基于此信息采取行动。

随着CrowdStrike以代理安全平台引领网络安全的下一时代,Falcon Exposure Management将提供实时、基于风险的优先级排序,由支持CrowdStrike® Charlotte AI™和代理SOC自动化的相同情报驱动。

Additional Resources

下载本指南,迈出更智能、更快、更有弹性地管理组织暴露的第一步:Beyond the Scan: An Ultimate Buyer’s Guide to Modern Exposure Management。 了解更多关于Falcon Exposure Management如何帮助您发现和管理环境中的漏洞和其他暴露的信息。 要了解有关Falcon Exposure Management功能的更多信息,请访问我们的Tech Hub。

  1. https://nvd.nist.gov/vuln/search#/nvd/home?resultType=statistics
  2. https://www.crowdstrike.com/en-us/resources/customer-stories/intermex/
  3. 这些数字是基于客户在预销售过程中提供的记录指标,比较CrowdStrike与客户现有解决方案的价值,得出的平均效益的预估估计。实际实现的价值将取决于个体客户的模块部署和环境。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次