В масштабном исследовании Центра операций по уязвимостям (VOC) было выявлено 1 337 797 уникальных проблем безопасности на 68 500 клиентских активах. Среди них идентифицировано 32 585 различных CVE (Common Vulnerability Enumeration), причем 10 014 имеют оценку CVSS 8 или выше, что указывает на критическую опасность. Примечательно, что внешние активы содержат 11 605 различных CVE, в то время как внутренние активы — 31 966.
Система CVE и Общая система оценки уязвимостей (CVSS) находятся под управлением программ, финансируемых правительством США (MITRE и NIST). К сентябрю 2024 года было опубликовано более 264 000 CVE за 25-летнюю историю программы. К 15 апреля 2025 года это число достигло примерно 290 000, включая записи со статусом «Отклонено» или «Отложено». В апреле 2025 года в Национальной базе данных уязвимостей (NVD) накопилось более 24 000 необработанных CVE. Ситуация осложнилась, когда MITRE объявила, что Министерство внутренней безопасности США не продлит контракт, что поставило под угрозу программу CVE. Однако благодаря реакции сообщества и индустрии финансирование было продлено.
Китай с 2009 года ведет собственную базу данных уязвимостей (CNNVD). В 2023 году Группа анализа угроз Google (TAG) и Mandiant выявили 97 эксплойтов нулевого дня. Однако статистика показывает, что только около 6% уязвимостей в словаре CVE когда-либо подвергались эксплуатации. Исследования 2022 года демонстрируют, что половина организаций ежемесячно исправляет лишь 15,5% или меньше уязвимостей.
Система прогнозирования эксплуатации (EPSS), разработанная FIRST, помогает предсказать вероятность использования уязвимостей. Анализ показывает, что при достаточном количестве уязвимостей вероятность эксплуатации приближается к 100%, даже если отдельные оценки EPSS низкие. Например, в наборе данных из 397 уязвимостей вероятность эксплуатации хотя бы одной достигает 99% при рассмотрении 265 различных CVE.
Анализ вероятности успеха атакующих демонстрирует интересную статистику. Злоумышленнику с 5% успеха (1 из 20) на систему потребуется атаковать 180 систем для достижения 99,99% вероятности успеха. При 10% успеха необходимо около 88 целей, а более опытному атакующему с 20% успеха — около 42 целей. Опытные пентестеры оценивают свой уровень успеха против произвольных интернет-систем примерно в 30%.
Новый подход к управлению уязвимостями включает два ключевых направления. Первое — снижение угроз с фокусом на внешне доступные системы с использованием EPSS и других источников информации. Второе — снижение рисков через три основных усилия: уменьшение поверхности атаки, ограничение воздействия через сегментацию (архитектура Zero Trust) и систематическое улучшение базовой безопасности.
Шаблон стратегии безопасности до 2030 года и далее включает пять ключевых элементов. Человеческий фактор: использование сильных сторон и получение поддержки руководства. Принятие решений на основе угроз: извлечение уроков из инцидентов. Моделирование и симуляция угроз: понимание путей атаки. Системная архитектура и дизайн: сокращение поверхности атаки. Безопасность по требованию/по умолчанию: внедрение безопасности в корпоративную культуру.
Security Navigator 2025 документирует 135 225 инцидентов и 20 706 подтвержденных нарушений, что подчеркивает масштаб проблемы и необходимость переосмысления подходов к управлению уязвимостями в современном цифровом пространстве.
Изображение носит иллюстративный характер
Система CVE и Общая система оценки уязвимостей (CVSS) находятся под управлением программ, финансируемых правительством США (MITRE и NIST). К сентябрю 2024 года было опубликовано более 264 000 CVE за 25-летнюю историю программы. К 15 апреля 2025 года это число достигло примерно 290 000, включая записи со статусом «Отклонено» или «Отложено». В апреле 2025 года в Национальной базе данных уязвимостей (NVD) накопилось более 24 000 необработанных CVE. Ситуация осложнилась, когда MITRE объявила, что Министерство внутренней безопасности США не продлит контракт, что поставило под угрозу программу CVE. Однако благодаря реакции сообщества и индустрии финансирование было продлено.
Китай с 2009 года ведет собственную базу данных уязвимостей (CNNVD). В 2023 году Группа анализа угроз Google (TAG) и Mandiant выявили 97 эксплойтов нулевого дня. Однако статистика показывает, что только около 6% уязвимостей в словаре CVE когда-либо подвергались эксплуатации. Исследования 2022 года демонстрируют, что половина организаций ежемесячно исправляет лишь 15,5% или меньше уязвимостей.
Система прогнозирования эксплуатации (EPSS), разработанная FIRST, помогает предсказать вероятность использования уязвимостей. Анализ показывает, что при достаточном количестве уязвимостей вероятность эксплуатации приближается к 100%, даже если отдельные оценки EPSS низкие. Например, в наборе данных из 397 уязвимостей вероятность эксплуатации хотя бы одной достигает 99% при рассмотрении 265 различных CVE.
Анализ вероятности успеха атакующих демонстрирует интересную статистику. Злоумышленнику с 5% успеха (1 из 20) на систему потребуется атаковать 180 систем для достижения 99,99% вероятности успеха. При 10% успеха необходимо около 88 целей, а более опытному атакующему с 20% успеха — около 42 целей. Опытные пентестеры оценивают свой уровень успеха против произвольных интернет-систем примерно в 30%.
Новый подход к управлению уязвимостями включает два ключевых направления. Первое — снижение угроз с фокусом на внешне доступные системы с использованием EPSS и других источников информации. Второе — снижение рисков через три основных усилия: уменьшение поверхности атаки, ограничение воздействия через сегментацию (архитектура Zero Trust) и систематическое улучшение базовой безопасности.
Шаблон стратегии безопасности до 2030 года и далее включает пять ключевых элементов. Человеческий фактор: использование сильных сторон и получение поддержки руководства. Принятие решений на основе угроз: извлечение уроков из инцидентов. Моделирование и симуляция угроз: понимание путей атаки. Системная архитектура и дизайн: сокращение поверхности атаки. Безопасность по требованию/по умолчанию: внедрение безопасности в корпоративную культуру.
Security Navigator 2025 документирует 135 225 инцидентов и 20 706 подтвержденных нарушений, что подчеркивает масштаб проблемы и необходимость переосмысления подходов к управлению уязвимостями в современном цифровом пространстве.