研究人员发现在大约80%的案例中针对边缘网络设备的恶意活动激增如网络侦察、定向扫描和暴力破解尝试往往是新安全漏洞CVE出现的前兆。Network Security Scanning Software - N-able这一发现来自威胁监测公司GreyNoise。该公司表示这些现象并非随机发生而是基于其全球观测网格GOG自2024年9月以来收集的数据通过客观统计阈值分析得出的严谨结论避免了选择性筛选偏差。在剔除模糊及低质量数据后公司最终确定了216起符合条件的激增事件涉及8家企业级边缘设备供应商。研究人员指出“在我们研究的所有216起激增事件中50%在三周内出现了新的CVE漏洞80%在六周内出现了新的CVE漏洞。”恶意活动峰值与新CVE披露时间下图为CVE披露趋势的直观展示与研究中观察到的活动峰值与漏洞发布时间高度相关Top Cybersecurity Vulnerability StatisticsGreyNoise指出在大多数情况下这些峰值活动的背后攻击者主要针对已知的旧漏洞进行尝试。这种行为要么推动新漏洞的发现要么帮助攻击者提前识别互联网上暴露的端点以便后续利用新型漏洞发起攻击。这种关联性在Ivanti、SonicWall、Palo Alto Networks和Fortinet的产品上尤为显著而在MikroTik、Citrix和Cisco的产品上则相对较弱。有国家支持背景的黑客组织多次将此类系统作为目标以获取初始访问权限并维持持久控制。What is an Edge Firewall? - zenarmor.com预警信号主动防御的先行指标传统防御策略往往在CVE漏洞公布后才启动响应但GreyNoise的研究表明攻击者的行为可作为重要的先行指标帮助组织实现主动防御。这些披露前的活动激增为防御方提供了宝贵的准备时间即使安全更新尚未可用、具体攻击目标不明他们仍可加强监控、加固系统抵御潜在威胁。GreyNoise建议组织应密切监控扫描活动并及时封禁可疑来源IP以阻止这些通常会引发后续实际攻击的侦察行为。研究人员强调针对旧漏洞的扫描在意料之中攻击者的目的是对暴露资产进行分类记录因此不应将其简单视为“失败入侵”而忽视。相关进展谷歌Project Zero调整披露政策谷歌“Project Zero”团队宣布将在发现漏洞后一周内向公众通报相关情况并在供应商开发补丁期间协助系统管理员加强防御。该团队将共享受影响的供应商/项目、产品名称、发现时间以及披露截止日期仍为90天。Google Project Zero: Hacker SWAT Team vs. Everyone | Fortune谷歌表示此次调整不会公布技术细节、概念验证代码或其他可能被攻击者利用的信息因此不会对安全性造成负面影响同时有助于缩短“补丁缺口”。