Практики установки исправлений в командах по обеспечению безопасности оказались под сильным давлением в прошлом году, поскольку количество активных эксплойтов возросло, временные окна для их использования ускоряются, а уязвимости стали основным вектором первоначального доступа, который выбирают злоумышленники.
В прошлом году организации полностью устранили только 26% уязвимостей, которые злоумышленники активно использовали в реальных условиях, — по сравнению с 38% годом ранее, согласно Отчету Verizon о расследованиях утечек данных за 2026 год. Среднее время устранения этих известных опасных пробелов растянулось до 43 дней, в то время как злоумышленники сократили свою часть уравнения до дней, а иногда и часов.
Именно на этом фоне Агентство по кибербезопасности и безопасности инфраструктуры США выпустило Обязательную операционную директиву 26-04. Директива отражает растущее понимание того, что исправление уязвимостей, основанное преимущественно на оценках критичности, больше не является достаточным в среде, управляемой ИИ, где защитники сталкиваются с большим количеством уязвимостей, чем могут реально устранить одновременно.
Во время брифинга для СМИ, посвященного анонсу директивы, Крис Бутера, исполняющий обязанности заместителя исполнительного директора по кибербезопасности в CISA, охарактеризовал эту инициативу как кульминацию более чем десятилетнего опыта, полученного в результате работы федеральных программ по управлению уязвимостями, анализа действий противников и растущего понимания агентством влияния ИИ на кибероперации.
«Приоритизация внимания ИТ- и служб безопасности на активах с наибольшим риском особенно важна сейчас, учитывая достижения в области искусственного интеллекта, которые позволяют злоумышленникам находить и использовать уязвимости в этих активах», — сказал Бутера. «Защитники не могут позволить себе тратить недели на исправление систем, которые могут быть автономно скомпрометированы массово».
В сопутствующем посте в блоге Бутера и Джонатан Спринг, старший технический советник CISA, утверждают, что защитники с трудом поспевают за быстро растущим объемом уязвимостей. ИИ помогает исследователям и противникам выявлять недостатки в программном обеспечении, значительно увеличивая темпы обнаружения новых уязвимостей и вынуждая организации переосмыслить подходы к приоритизации усилий по устранению.
Бутера и Спринг утверждают, что защитникам нужна большая ясность и скорость при принятии решений о том, что исправлять. Их предписание: исправлять умнее, а не усерднее.
За пределами CVSS: почему оценок критичности больше недостаточно
Директива основывается на программе CISA по известным уязвимостям, используемым в эксплойтах (KEV), которая уже выявляет уязвимости, активно используемые злоумышленниками. Но BOD 26-04 идет дальше, вводя систему принятия решений, которая учитывает четыре ключевых фактора: подвергается ли уязвимая система воздействию интернета, включена ли уязвимость в каталог KEV, может ли злоумышленник автоматизировать использование уязвимости и какой контроль он получит после эксплуатации.
Во время брифинга Бутера заявил, что эти четыре характеристики — публичная доступность, известное использование в эксплойтах, автоматизация эксплуатации и влияние после эксплуатации — представляют условия, наиболее тесно связанные со значительным риском для федеральных систем. Уязвимости, демонстрирующие три или более из этих атрибутов, должны быть исправлены в течение трех дней, в то время как уязвимости с меньшим риском могут быть устранены в более длительные сроки или, в некоторых случаях, отложены до следующего крупного обновления системы.
Это изменение отражает более широкий сдвиг в том, как специалисты по безопасности мыслят об управлении уязвимостями. Годами организации в значительной степени полагались на оценки критичности, такие как CVSS, для определения приоритетов установки исправлений. Но эти оценки часто не могут предсказать, будут ли злоумышленники фактически использовать уязвимость.
«Ранее директива основывалась только на оценке критичности, которая, как мы в отрасли пришли к выводу, не является хорошим предиктором эксплуатации», — говорит Саша Романоски, старший научный сотрудник по политике кибербезопасности в RAND, в интервью CSO. «Эта Директива, похоже, обновлена для учета как влияния, так и эксплуатации, что, я думаю, является правильным подходом».
Джерри Гамблин, член SIG EPSS FIRST и основатель RogoLabs, еще более воодушевлен этой Директивой. «BOD 26-04 — это огромный шаг в правильном направлении и подтверждает то, что команды, основанные на данных, уже знают: исправлять каждую уязвимость с оценкой High или Critical математически невозможно», — говорит он CSO. «Формализуя использование каталога KEV наряду с передовыми прогностическими данными, такими как EPSS, CISA помогает направить отрасль к практической, основанной на рисках операционной зрелости».
Операционная нагрузка непрерывной оценки рисков
Возможно, наиболее заметным операционным изменением является то, что сроки устранения становятся динамичными. Требуемое время реагирования на уязвимость может меняться по мере изменения обстоятельств, при этом уязвимости, подверженные воздействию интернета и активно используемые, получают наивысший приоритет.
Во время брифинга Бутера заявил, что эта гибкость является одной из самых сильных сторон директивы. В ходе анализа одной федеральной гражданской организации CISA обнаружило, что только около 1% инцидентов с уязвимостями требовали устранения в течение трех дней, в то время как более 60% могли быть отложены до следующего обновления системы.
Этот вывод подчеркивает основной аргумент агентства: управление уязвимостями стало проблемой приоритизации в такой же степени, как и проблемой установки исправлений.
«Мы действительно считаем, что должны иметь возможность высвободить некоторое время для более быстрого исправления наиболее срочных уязвимостей, одновременно допуская более регулярные циклы установки исправлений для некоторых уязвимостей с меньшим риском», — сказал Бутера.
Вместо того чтобы заставлять агентства тратить ресурсы на устранение тысяч уязвимостей различной важности, эта система концентрирует внимание на малой части недостатков, которые с наибольшей вероятностью приведут к компрометации.
Что директива делает правильно — и что упускает
Романоски отмечает, однако, что подход директивы к оценке влияния относительно узок и в значительной степени сосредоточен на том, предоставляет ли эксплуатация злоумышленнику частичный или полный контроль над системой.
«А как насчет последствий для целостности, которые изменяют данные, или полного отказа в доступе к системе, например, атака типа «отказ в обслуживании» (DDoS) на DNS или уничтожение базы данных?» — спрашивает он. «Эти последствия также кажутся важными».
Тем не менее, он признает, что если политики должны упрощать решения о рисках в рамках федерального правительства, то приоритизация уязвимостей, предоставляющих противникам контроль над системами, является разумной отправной точкой.
Директива также уделяет значительное внимание системам, подверженным воздействию интернета, что может вызвать вопросы о рисках, находящихся глубже в корпоративных сетях. Бутера и Спринг напрямую затрагивают этот момент в своем посте в блоге, утверждая, что CISA обычно не наблюдает компрометации основных сетей злоумышленниками, используя только уязвимости программного обеспечения. Вместо этого злоумышленники часто полагаются на действительные учетные данные, неправильные конфигурации и другие методы «жизни за счет земли» (living off the land).
KEV полезен — но достаточно ли этого?
Специалисты по кибербезопасности за пределами правительства должны обратить пристальное внимание, поскольку федеральное управление уязвимостями часто предвещает более широкую отраслевую практику. Директива формализует идеи, которые многие руководители по безопасности отстаивали годами: одних только оценок CVSS недостаточно; контекст актива имеет значение; подверженность интернету имеет значение; активное использование в эксплойтах имеет наибольшее значение.
Майкл Ройтман, соучредитель и технический директор Empirical Security, рассматривает эту директиву как веху в этой эволюции.
«Федеральное правительство наконец-то отказалось от мандата «исправлять все в списке» и заменило его приоритизацией на основе рисков», — говорит Ройтман CSO. «Одиннадцать лет назад приоритизация по вероятности эксплуатации была ересью, которую нам приходилось отстаивать в коридорах конференций. Сегодня это обязательная федеральная директива».
Но он также утверждает, что опора системы на каталог KEV подчеркивает одно из ее ограничений.
«Списки KEV бинарны и ретроспективны», — говорит Ройтман. «Когда ИИ сжимает разрыв между исправлением и эксплуатацией до нескольких часов, ожидание записи в KEV означает, что вы узнаете, что ошиблись, из отчета об инциденте».
Романоски высказывает схожую озабоченность, описывая KEV как ценный, но по своей сути ретроспективный источник информации. «KEV — отличная программа для DHS и общественности, но это, в лучшем случае, свидетельство прошлой эксплуатации», — говорит он.
Оба эксперта предположили, что прогностические сигналы заслуживают большей роли в будущих усилиях по приоритизации уязвимостей. Романоски конкретно указывает на Систему оценки прогнозирования эксплойтов (EPSS), которая оценивает вероятность того, что уязвимость будет использована в будущем.
«Обеспокоенность, конечно, заключается в том, что уязвимости стареют, и то, что могло быть использовано в прошлом году или в прошлом месяце, может больше не использоваться в активной эксплуатации сегодня», — говорит Романоски. «Таким образом, EPSS предоставит лучший сигнал».
Ройтман развивает этот аргумент дальше. Опираясь на исследования, проведенные совместно с командой DBIR Verizon, он заявил, что недавность имеет огромное значение при оценке риска эксплуатации.
По словам Ройтмана, 82% записей KEV относятся к уязвимостям, эксплуатация которых была впервые зафиксирована более года назад. «Двенадцать месяцев бездействия означает, что вероятность эксплуатации падает с 99% в первый день до 5%», — говорит он.
Он также утверждает, что KEV охватывает лишь часть наблюдаемой активности эксплуатации. «Список KEV охватывает только около 8% наблюдаемых эксплойтов», — сказал Ройтман. «Мы отслеживаем 17 800 CVE по сравнению с 1 600 у CISA».
Как ИИ может вынудить к новому переосмыслению управления уязвимостями
Бутера и Спринг утверждают, что искусственный интеллект уже ускоряет обнаружение уязвимостей и усиливает давление на защитников. BOD 26-04 призвана помочь агентствам автоматизировать и масштабировать управление уязвимостями, концентрируя скудные ресурсы на наиболее важных рисках.
Но четырехфакторная система директивы была построена на ландшафте уязвимостей, существующем на сегодняшний день, — и ИИ может довольно быстро сделать этот ландшафт неузнаваемым.
Романоски указывает на структурный пробел в текущей модели: поскольку система в значительной степени опирается на идентификаторы CVE, защитники могут столкнуться с вновь обнаруженными недостатками, требующими срочного внимания, до того, как они будут официально каталогизированы. «Поскольку все больше уязвимостей обнаруживается быстрее с помощью инструментов ИИ, мы можем ожидать целый набор новых уязвимостей, которым еще не присвоены идентификаторы CVE, которые необходимо будет очень быстро исправить», — говорит он.
Это не гипотетическая проблема. Процесс присвоения CVE, которым управляют MITRE и сеть уполномоченных органов по нумерации, был создан для более медленного темпа обнаружения. Идентификатор может присваиваться уязвимости в течение дней или недель, после чего она проходит анализ NVD и появляется в инструментах, которые фактически используют практики. Если ИИ сжимает окно между обнаружением и эксплуатацией до нескольких часов, этот конвейер становится обузой.
Ройтман рассматривает четырехфакторную модель директивы как отправную точку, а не конечную цель — модель, откалиброванную для среднего федерального риска, а не для конкретных условий какой-либо отдельной организации. «Риск в таблице CISA — это средний риск по всему федеральному предприятию», — сказал он. «Риск в корпоративной среде — это другое число, которое зависит от средств контроля, телеметрии, распространенности и, в конечном счете, от локальной модели, специфичной для этого предприятия».
Романоски согласен, что еще одна ревизия может быть неизбежной. «Я могу ожидать еще одну пересмотренную BOD — или какую-либо другую директиву — для учета того, что может стать новым непрерывным потоком уязвимостей», — говорит он.
В этом смысле BOD 26-04 может быть не столько пунктом назначения, сколько промежуточной точкой: лучшим текущим ответом федерального правительства на проблему, которую ИИ гарантированно сделает более сложной.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
