Вот тут Palo Alto утверждают занятное: что обычно злоумышленники начинают сканировать периметр организаций на наличие уязвимости через 15 минут после публикации CVE. Прям вот так:

"The 2022 Attack Sur­face Man­age­ment Threat Report found that attack­ers typ­i­cal­ly start scan­ning for vul­ner­a­bil­i­ties with­in 15 min­utes of a CVE being announced".

Как конкретно эти 15 минут получили вроде нигде не пишут. Но видимо могли засекать на ханипотах/ids попытки эксплуатации каких-то определенных уязвимостей и связали это с датой публикации уязвимости.

Пример приводят, что они через 5 дней после публикации уязвимости выпустили сигнатуру и за 10 часов насобирали две с половиной тысячи попыток эксплуатации.

"For exam­ple, Palo Alto Net­works released a Threat Pre­ven­tion sig­na­ture for the F5 BIG-IP Authen­ti­ca­tion Bypass Vul­ner­a­bil­i­ty (CVE-2022–1388), and with­in just 10 hours, the sig­na­ture trig­gered 2,552 times due to vul­ner­a­bil­i­ty scan­ning and active exploita­tion attempts".

Круто конечно, но все-таки сигнатуру выпустили далеко не сразу, так что сказать когда именно пошли зловредные сканы начались сложновато.

Но не суть. Не так важно действительно ли через 15 минут сканы начинаются или несколько позже. Факт, что злоумышленники мониторы новостной поток об уязвимостях. И факт, что они мотивированы сканить ваш периметр чаще, использовать для этого нестандартные проверки, а не только те, что есть в вашем коммерческом сканере.

И чтобы безопасникам не играть со злоумышленниками в догонялки единственный вариант это знать и контролировать свой периметр гораздо лучше, чем это может сделать любой внешний исследователь. Понимать зачем тот или иной сервис на периметре нужен. По возможности стараться минимизировать их количество. Если есть какое-то распространенное приложение или сетевое устройство на периметре, то иметь в виду, что их будут целенаправленно искать и ломать. Поэтому для таких сервисов следует отдельно мониторить бюллетени безопасности и начинать реагировать ещё до того как детекты появятся в сканерах и тем более до того как об уязвимости начнут верещать в СМИ.

Сказать-то конечно проще, чем сделать.