Переосмысление управления уязвимостями: новые подходы в эпоху растущих киберугроз

В масштабном исследовании Центра операций по уязвимостям (VOC) было выявлено 1 337 797 уникальных проблем безопасности на 68 500 клиентских активах. Среди них идентифицировано 32 585 различных CVE (Common Vulnerability Enumeration), причем 10 014 имеют оценку CVSS 8 или выше, что указывает на критическую опасность. Примечательно, что внешние активы содержат 11 605 различных CVE, в то время как внутренние активы — 31 966.
Переосмысление управления уязвимостями: новые подходы в эпоху растущих киберугроз
Изображение носит иллюстративный характер

Система CVE и Общая система оценки уязвимостей (CVSS) находятся под управлением программ, финансируемых правительством США (MITRE и NIST). К сентябрю 2024 года было опубликовано более 264 000 CVE за 25-летнюю историю программы. К 15 апреля 2025 года это число достигло примерно 290 000, включая записи со статусом «Отклонено» или «Отложено». В апреле 2025 года в Национальной базе данных уязвимостей (NVD) накопилось более 24 000 необработанных CVE. Ситуация осложнилась, когда MITRE объявила, что Министерство внутренней безопасности США не продлит контракт, что поставило под угрозу программу CVE. Однако благодаря реакции сообщества и индустрии финансирование было продлено.

Китай с 2009 года ведет собственную базу данных уязвимостей (CNNVD). В 2023 году Группа анализа угроз Google (TAG) и Mandiant выявили 97 эксплойтов нулевого дня. Однако статистика показывает, что только около 6% уязвимостей в словаре CVE когда-либо подвергались эксплуатации. Исследования 2022 года демонстрируют, что половина организаций ежемесячно исправляет лишь 15,5% или меньше уязвимостей.

Система прогнозирования эксплуатации (EPSS), разработанная FIRST, помогает предсказать вероятность использования уязвимостей. Анализ показывает, что при достаточном количестве уязвимостей вероятность эксплуатации приближается к 100%, даже если отдельные оценки EPSS низкие. Например, в наборе данных из 397 уязвимостей вероятность эксплуатации хотя бы одной достигает 99% при рассмотрении 265 различных CVE.

Анализ вероятности успеха атакующих демонстрирует интересную статистику. Злоумышленнику с 5% успеха (1 из 20) на систему потребуется атаковать 180 систем для достижения 99,99% вероятности успеха. При 10% успеха необходимо около 88 целей, а более опытному атакующему с 20% успеха — около 42 целей. Опытные пентестеры оценивают свой уровень успеха против произвольных интернет-систем примерно в 30%.

Новый подход к управлению уязвимостями включает два ключевых направления. Первое — снижение угроз с фокусом на внешне доступные системы с использованием EPSS и других источников информации. Второе — снижение рисков через три основных усилия: уменьшение поверхности атаки, ограничение воздействия через сегментацию (архитектура Zero Trust) и систематическое улучшение базовой безопасности.

Шаблон стратегии безопасности до 2030 года и далее включает пять ключевых элементов. Человеческий фактор: использование сильных сторон и получение поддержки руководства. Принятие решений на основе угроз: извлечение уроков из инцидентов. Моделирование и симуляция угроз: понимание путей атаки. Системная архитектура и дизайн: сокращение поверхности атаки. Безопасность по требованию/по умолчанию: внедрение безопасности в корпоративную культуру.

Security Navigator 2025 документирует 135 225 инцидентов и 20 706 подтвержденных нарушений, что подчеркивает масштаб проблемы и необходимость переосмысления подходов к управлению уязвимостями в современном цифровом пространстве.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка