80% 案例显示：恶意活动激增极大可能预示新安全漏洞

研究人员发现，在大约80%的案例中，针对边缘网络设备的恶意活动激增（如网络侦察、定向扫描和暴力破解尝试），往往是新安全漏洞（CVE）出现的前兆。

Network Security Scanning Software - N-able

这一发现来自威胁监测公司GreyNoise。该公司表示，这些现象并非随机发生，而是基于其全球观测网格（GOG）自2024年9月以来收集的数据，通过客观统计阈值分析得出的严谨结论，避免了选择性筛选偏差。

在剔除模糊及低质量数据后，公司最终确定了216起符合条件的激增事件，涉及8家企业级边缘设备供应商。研究人员指出：“在我们研究的所有216起激增事件中，50%在三周内出现了新的CVE漏洞，80%在六周内出现了新的CVE漏洞。”

恶意活动峰值与新CVE披露时间（下图为CVE披露趋势的直观展示，与研究中观察到的活动峰值与漏洞发布时间高度相关）

Top Cybersecurity Vulnerability Statistics

GreyNoise指出，在大多数情况下，这些峰值活动的背后，攻击者主要针对已知的旧漏洞进行尝试。这种行为要么推动新漏洞的发现，要么帮助攻击者提前识别互联网上暴露的端点，以便后续利用新型漏洞发起攻击。

这种关联性在Ivanti、SonicWall、Palo Alto Networks和Fortinet的产品上尤为显著，而在MikroTik、Citrix和Cisco的产品上则相对较弱。有国家支持背景的黑客组织多次将此类系统作为目标，以获取初始访问权限并维持持久控制。

What is an Edge Firewall? - zenarmor.com

预警信号：主动防御的先行指标

传统防御策略往往在CVE漏洞公布后才启动响应，但GreyNoise的研究表明，攻击者的行为可作为重要的先行指标，帮助组织实现主动防御。这些披露前的活动激增，为防御方提供了宝贵的准备时间：即使安全更新尚未可用、具体攻击目标不明，他们仍可加强监控、加固系统，抵御潜在威胁。

GreyNoise建议，组织应密切监控扫描活动，并及时封禁可疑来源IP，以阻止这些通常会引发后续实际攻击的侦察行为。研究人员强调，针对旧漏洞的扫描在意料之中，攻击者的目的是对暴露资产进行分类记录，因此不应将其简单视为“失败入侵”而忽视。

相关进展：谷歌Project Zero调整披露政策

谷歌“Project Zero”团队宣布，将在发现漏洞后一周内向公众通报相关情况，并在供应商开发补丁期间协助系统管理员加强防御。该团队将共享受影响的供应商/项目、产品名称、发现时间以及披露截止日期（仍为90天）。

Google Project Zero: Hacker SWAT Team vs. Everyone | Fortune

谷歌表示，此次调整不会公布技术细节、概念验证代码或其他可能被攻击者利用的信息，因此不会对安全性造成负面影响，同时有助于缩短“补丁缺口”。