ExPRT.AI如何预测攻击者将利用的下一个漏洞

本文详细介绍CrowdStrike Falcon Exposure Management中的ExPRT.AI人工智能引擎如何利用实时对手信号和攻击行为数据,预测最可能被利用的漏洞,帮助安全团队优先处理高风险威胁,实现精准修复。

ExPRT.AI如何预测攻击者将利用的下一个漏洞

ExPRT.AI内置于Falcon Exposure Management中,旨在消除噪音并优先处理风险最高的漏洞。

2024年披露了近40,000个漏洞¹。安全团队不堪重负,特别是那些依赖过时工具的团队。嵌入在CrowdStrike Falcon® Exposure Management中的原生智能引擎ExPRT.AI,旨在帮助团队优先处理最紧迫的漏洞。

大多数漏洞管理解决方案仍然依赖静态CVSS分数和通用数据库。这些系统根据影响的严重性对漏洞进行排名,而不是根据对手是否积极针对它们。因此,防御者通常优先处理最高严重性问题——即使较低严重性漏洞在其环境中正遭受攻击。这种方法导致修补队列冗长、资源分配不当以及紧急风险被忽视。

没有真实世界的对手遥测数据,大多数漏洞管理工具与攻击者行为脱节。它们向后看的威胁反馈只在对手行动后评估风险。凭借浅薄的自动化,它们的分类仍然依赖于手动规则、标记和猜测。

与此同时,攻击者速度越来越快:根据CrowdStrike 2025威胁狩猎报告,电子犯罪突破时间已降至51秒的低点。SCATTERED SPIDER从账户接管到勒索软件仅加速至24小时。

ExPRT.AI不仅仅对漏洞评分。它利用实时对手信号、观察到的攻击行为以及基于CrowdStrike专有威胁情报训练的人工智能,预测哪些漏洞将被利用。借助ExPRT.AI,安全团队可以更快地修复对其环境最关键漏洞。

ExPRT.AI如何知道攻击者将利用什么

ExPRT.AI采用与传统扫描工具根本不同的方法,后者仍依赖静态严重性评级、统计预测和传统扫描基础设施。它使用基于CrowdStrike Counter Adversary Operations多年威胁情报训练的人工智能,结合观察到的利用行为和跨端点、云工作负载及身份的全球遥测数据。结果是动态、透明且前瞻性的可利用性评分,指示攻击者下一步最可能瞄准的目标。

虽然CVSS分数是一个重要因素,但优先修补的决定不应仅基于此分数。事实上,攻击者有时偏爱较低严重性漏洞,特别是在链式利用漏洞时——这种方法允许对手通过将多个漏洞组合成单一攻击来实现远程代码执行(RCE)。

正如CrowdStrike 2025全球威胁报告中所解释,漏洞链式利用破坏了许多企业遵循的基于严重性分数的修补流程。虽然预认证漏洞接收带外补丁并通常优先修补,但相关的后认证漏洞接收较少关注可能被忽略。这可能允许该漏洞稍后与不同漏洞链式利用以再次实现RCE。

除非组织解决多个漏洞的根本原因,否则威胁行为者可以重新利用类似技术并快速开发绕过初始缓解措施的替代方案。鉴于此,在优先修补时理解漏洞的上下文至关重要。

ExPRT.AI在真实攻击者技术的上下文中评估漏洞。并且它每天都在变得更智能。

预测机制:ExPRT.AI模型内部

ExPRT.AI经过训练,根据漏洞在现实世界中被利用的可能性进行排名。该模型由CrowdStrike多年专有威胁情报、对手技术和实时遥测数据驱动,不问“这个漏洞在理论上有多糟糕?”而是问“攻击者真的会使用这个吗?”

为此,ExPRT.AI评估行为和环境因素的混合,包括:

  • 受影响软件在全球环境中的部署广泛程度
  • 利用技术是否公开或已经武器化
  • 执行难度(例如,无需用户交互、远程代码执行)
  • 是否支持对手目标如持久化、横向移动或权限提升

利用这些信息,它分享每个漏洞的现实世界可利用性,以便团队专注于可能被用来攻击他们的内容。

可利用性评分如何创建

每个漏洞使用一组精心策划的对手对齐信号进行评估。这些输入是攻击者兴趣、意图和机会的指标,它们直接映射到对防御者重要的结果。

下面列出的信号基于我们在现实世界利用活动中一致观察到的内容,是一些最具影响力和预测性的信号。它们代表了ExPRT.AI用于评估可利用性的更广泛输入集合的子集。

  • 利用活动:CrowdStrike跟踪野外漏洞利用。如果攻击者已经在使用某个漏洞,ExPRT.AI会优先处理它。
  • 对手工具重用:ExPRT.AI识别包含在恶意软件工具包、攻击性安全工具和活跃活动基础设施中的漏洞。这帮助安全团队检测和修补已经在攻击者工作流中操作化的缺陷。
  • 软件普及度:受影响软件的部署越广泛,漏洞对寻求规模的对手越有吸引力。通过考虑普及度,ExPRT.AI帮助团队优先处理攻击者更可能跨环境瞄准的漏洞。
  • 补丁可用性:ExPRT.AI评估补丁是否存在及其采用广泛程度。这帮助防御者专注于仍是可行攻击向量的暴露。
  • 攻击向量:虽然ExPRT.AI超越CVSS,但它仍纳入关键向量如攻击复杂性、所需权限和用户交互。这确保可利用性评分反映漏洞的真实利用潜力。
  • CrowdStrike Threat Graph®:每个评分都通过CrowdStrike Threat Graph的实时全球遥测和对手情报丰富。这赋予ExPRT.AI跨端点、身份、云工作负载等查看攻击者活动的可见性。

这些信号共同产生每日更新、全球一致的可利用性评分。但ExPRT.AI不止于一个数字——它还提供驱动结果的顶部加权因素的透明解释。这赋予分析师行动信心,并让领导层了解为什么某些漏洞优先。

观看ExPRT.AI lightboard视频,了解原始利用数据、威胁情报和攻击者行为如何流经模型以提供精确、可操作的优先排序:

由AI原生Falcon平台驱动

ExPRT.AI原生嵌入在Falcon Exposure Management中,并从CrowdStrike Falcon®平台交付,这是CrowdStrike的AI原生基础,实时连接端点、身份、云和威胁情报。它由驱动整个平台检测、调查和自动响应的相同AI和遥测数据提供动力。

Falcon平台的能力赋能ExPRT.AI用户:

  • 知道先修复什么:当ExPRT.AI与Falcon的AI驱动资产关键性配对时,团队看到什么可能被利用以及为什么对业务重要。Falcon Exposure Management利用实时Falcon平台数据,呈现可利用性和业务影响交集的漏洞。
  • 加速分类和事件响应:因为ExPRT.AI是Falcon平台的一部分,可利用性上下文立即出现在检测和SOC工作流中, alongside端点、身份和威胁情报数据。分析师从一开始就获得全貌,无需挖掘数据或依赖额外工具。
  • 简化修复:ExPRT.AI可利用性评分和上下文直接流入Falcon平台仪表板、CrowdStrike Falcon® Next-Gen SIEM、票务系统和CrowdStrike Falcon® Fusion SOAR playbooks,因此团队无需在工具间跳转或手动重新优先排序。所有内容在团队和工作流间保持同步,因为它都构建在同一平台上。
  • 获得实时威胁上下文:因为ExPRT.AI使用来自CrowdStrike Threat Graph的实时数据持续更新,每个优先排序决策反映攻击者当时正在做什么。这全球遥测数据来自数百万传感器和对手跟踪操作。

这就是AI原生平台上的漏洞优先排序:内置智能、实时上下文和第一天的运营价值。

客户影响:从噪音到精准

使用ExPRT.AI的组织在风险降低、修复速度和运营效率方面看到可衡量、可重复的结果。例如,Intermex通过将ExPRT.AI与AI驱动资产关键性结合,在其DMZ中实现了98%的关键漏洞减少,简化了整个修补工作流²。

跨CrowdStrike客户,ExPRT.AI已显示³:

  • 聚焦精准:ExPRT.AI帮助团队将95%的修复工作聚焦在仅5%最可能被利用的漏洞上。
  • 驱动整合:组织通过将传统扫描工具和孤立的风险平台整合到Falcon Exposure Management中,可节省高达30万美元。
  • 提升运营效率:FEM客户通过消除手动分类、冗余修补和误报,每年回收高达2,000小时。
  • 减少事件:客户报告由于AI驱动的利用预测,需要漏洞分析的事件减少高达50%。

更智能、知情的修补

我们继续在漏洞管理中创新。在Fal.Con 2025,我们首次推出了Exposure Prioritization Agent,这是为强化代理SOC构建的几个新AI代理之一。Exposure Prioritization Agent以通俗语言总结漏洞,使用Falcon平台遥测验证其可利用性,将其影响映射到业务关键资产,并交付优先、高置信度的首先修复列表。

即将登陆CrowdStrike Falcon® for IT的基于风险的修补,旨在缩小安全和IT团队之间的差距。Falcon Exposure Management依赖对手活动和攻击路径优先处理漏洞,而基于风险的修补通过使用具有补丁安全分数和传感器智能的AI驱动修补来修复风险,对此信息采取行动。

随着CrowdStrike以代理安全平台引领网络安全的下一个时代,Falcon Exposure Management将提供实时、基于风险的优先排序,由支持CrowdStrike® Charlotte AI™和代理SOC自动化的相同情报驱动。

额外资源

下载本指南,迈出更智能、更快、更有弹性管理组织暴露的第一步:Beyond the Scan: An Ultimate Buyer’s Guide to Modern Exposure Management

了解更多关于Falcon Exposure Management如何帮助您发现和管理环境中的漏洞和其他暴露。

要了解Falcon Exposure Management功能更多信息,请访问我们的Tech Hub

  1. https://nvd.nist.gov/vuln/search#/nvd/home?resultType=statistics
  2. https://www.crowdstrike.com/en-us/resources/customer-stories/intermex/
  3. 这些数字是基于预销售过程中客户提供的记录指标的预估平均收益,比较了CrowdStrike与客户现有解决方案的价值。实际实现价值将取决于个别客户的模块部署和环境。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次