​

漏洞动态是根据复杂的网络空间动态变化的，可以参考CVE数据每个月产生了多少新漏洞，有多少新漏洞是被威胁行为者利用。在面对0day漏洞攻击有没有排查方法是有的，也就是通过IOA功能主动狩猎有没有被0day攻击。带有威胁狩猎的EDR具备IOA（攻击指标）搜索功能。

首先需要了解进行rce远程代码执行漏洞攻击，漏洞利用成功会在受影响的软件产品的主进程下发生异常的行为，如产生新的进程命令行会出现攻击者执行的whoami命令或者其它可疑执行命令。

通过厂商发布已知的漏洞预警，如xxx远程代码执行漏洞，漏洞还没有公布POC的时候，就可以通过主动威胁狩猎方式寻找受影响的终端，漏洞公布之前有没有发生可疑行为或告警，狩猎是否遭到失陷。

还原漏洞细节需要通过ndr流量和人工审计的方式进行溯源，还有APT归因也需要通过人工分析。

猜测之前国外3cx供应链攻击事件，如何被发现的，这么隐蔽的供应链攻击，是某xxx客户上面的edr出现一处告警，通过上报edr厂商，edr厂商对自己的客户进行全网排查，把攻击者揪出来的。