研究人员发现，在大约 80% 的情况下，网络侦察、目标扫描和针对边缘网络设备的暴力攻击等恶意活动激增，是披露新安全漏洞（cve）的前兆。

这是由威胁监测公司 GreyNoise 发现的，该公司报告称，这些事件并非随机发生，而是具有可重复和统计上显著的模式。

GreyNoise 基于自 2024 年 9 月以来收集的 " 全球观测网格 "（GOG）数据，应用客观统计阈值来避免结果扭曲的挑选。

在去除嘈杂、模糊和低质量的数据后，该公司最终获得了 216 个符合峰值事件标准的事件，这些事件与 8 家企业边缘供应商有关。

研究人员解释说：" 在研究的 216 次峰值事件中，50% 在三周内出现了新的 CVE， 80% 在六周内出现了新的 CVE。"

Ivanti、SonicWall、Palo Alto Networks 和 Fortinet 产品的相关性明显更强，而 MikroTik、Citrix 和 Cisco 的相关性较弱。有国家支持背景的参与者一再将此类系统作为初始访问和持久性的目标。

新 cve 的峰值活动和披露时间

GreyNoise 指出，在大多数情况下，这些峰值背后，攻击者针对的是已知的旧漏洞进行攻击尝试。

研究人员认为，这要么有助于发现新的弱点，要么有助于发现暴露在互联网上的端点，这些端点可以在下一阶段的攻击中成为目标，从而利用新的漏洞。

预警信号

传统上，防御者会在 CVE 发布后做出反应，但 GreyNoise 的研究结果表明，攻击者的行为可以成为组织主动防御的主要指标和工具。

这些预先披露的峰值为防御者提供了一个准备、增强监控和强化系统以抵御潜在攻击的窗口，即使安全更新不能保护他们，他们也不知道哪个系统组件或功能实际上是目标。

GreyNoise 建议对扫描活动进行密切监控，并及时屏蔽原始 ip，因为这将它们排除在侦察之外，而侦察通常会导致随后的实际攻击。

研究人员强调，在这些情况下，扫描旧的漏洞是意料之中的，因为攻击者的目标是对暴露的资产进行分类。因此，不应将其视为破坏完全修补的端点的失败尝试。

活动峰值（白色）和新 cve 的发布（红色）

在相关的开发中，谷歌的 Project Zero 宣布它将在一周内开始通知公众发现的一个漏洞，在供应商开发补丁时帮助系统管理员加强防御。

Project Zero 现在将共享受新漏洞影响的供应商 / 项目和产品、发现时间和披露截止日期（仍然是 90 天）。

由于缺乏技术细节、概念验证漏洞或任何其他可能提示攻击者的信息，谷歌希望此更改不会对安全性产生不利影响，同时有助于减少 " 补丁缺口 "。