В 2026 году индустрия кибербезопасности, как ожидается, преодолеет невиданный ранее порог: более 50 000 общедоступных уязвимостей программного обеспечения за один год.
Согласно новому прогнозу Форума команд реагирования на инциденты и безопасности (FIRST), медианный прогноз на 2026 год составляет примерно 59 000 общих уязвимостей и подверженностей (CVE). При более экстремальных, но правдоподобных сценариях это число может значительно возрасти, достигнув почти 118 000, что более чем вдвое превышает оценку в 48 000 CVE, зарегистрированных в 2025 году.
Однако исследователи в области безопасности и специалисты по данным предостерегают, что цифры говорят лишь о части картины. Исторически сложилось так, что лишь небольшая доля раскрытых уязвимостей реально эксплуатируется, и еще меньшее подмножество оказывает существенное влияние на большинство предприятий.
«Хотя количество уязвимостей растет, действительно важно то, какие из них будут эксплуатироваться, — говорит Майкл Ройтман, соучредитель и технический директор Empirical Security, в интервью CSO. — А это уже другой процесс. Он не зависит от количества существующих уязвимостей, поскольку иногда эксплойт пишется еще до того, как появляется CVE».
Прогноз FIRST вместо этого подчеркивает растущую проблему «сигнал/шум», которая перегружает и без того чрезмерно нагруженные команды безопасности и повышает ставки для приоритизации, автоматизации и планирования мощностей, а не требует от организаций экспоненциально большего исправления ошибок.
Почему растет число уязвимостей?
Прогноз FIRST отражает структурные изменения в способах обнаружения и раскрытия уязвимостей, а не внезапный скачок возможностей злоумышленников.
«Некоторые классические команды по скоординированному раскрытию уязвимостей производят немного больший объем каждая индивидуально, но мы также видим несколько новых игроков в этой сфере, которые производят много», — говорит Эйрен Леверетт, представитель FIRST и ведущий член команды прогнозирования уязвимостей организации, в интервью CSO.
Рост также отражает созревание самого процесса отчетности об уязвимостях. Больше организаций теперь действуют как органы, присваивающие номера CVE, больше поставщиков стимулируют раскрытие информации с помощью программ вознаграждений за обнаружение ошибок, а давно игнорируемые кодовые базы — особенно в инфраструктуре с открытым исходным кодом — получают постоянное внимание.
В этом смысле всплеск отражает улучшенную видимость, а не ухудшение качества программного обеспечения. Уязвимости, существовавшие годами, теперь каталогизируются, отслеживаются и измеряются способами, которые были невозможны десятилетие назад.
FIRST также скорректировала свой подход к моделированию, чтобы учесть структурный сдвиг в публикации CVE, который начался примерно в 2017 году, когда объемы раскрытия информации начали более резко расти. Вместо оптимизации для единичной точечной оценки организация расширила свои доверительные интервалы, чтобы помочь командам безопасности планировать различные сценарии.
«Мы считаем вполне реалистичным, что в этом году мы достигнем от 70 000 до 100 000 уязвимостей, — говорит Леверетт, добавляя, что медианный прогноз остается ближе к 60 000 и предназначен для поддержки планирования, а не для тревоги.
Почему сырые подсчеты CVE не равны риску
Несмотря на масштаб прогноза, эксперты подчеркивают, что объем уязвимостей сам по себе является плохим показателем риска для предприятия.
«Риск для предприятия не связан напрямую с количеством выпущенных уязвимостей, — говорит Ройтман из Empirical Security. — Это отдельный процесс».
Он ссылается на исторические данные, показывающие, что, хотя количество CVE неуклонно росло, эксплуатация не следовала той же траектории. В 2025 году было раскрыто около 48 000 уязвимостей, говорит Ройтман. Из них менее 3000 имели общедоступный код эксплойта (proof-of-concept), и только около 700 показали свидетельства эксплуатации в реальных условиях.
«Действительно рискованные вещи изменились незначительно [по сравнению с уровнями 2024 года], не так сильно, как можно было бы ожидать от общего изменения», — говорит он.
Кроме того, многие уязвимости затрагивают нишевое программное обеспечение, потребительские устройства, такие как мобильные телефоны, и другие конфигурации, которые не являются приоритетными в крупных корпоративных средах. Другие уязвимости теоретически могут быть эксплуатированы, но предлагают злоумышленникам мало ценности по сравнению с уже «вооруженными» уязвимостями, которые доказаны, масштабируемы и надежны.
Эта тенденция сохраняется годами, даже по мере роста объемов раскрытия информации. В результате увеличивается разрыв между количеством опубликованных уязвимостей и количеством, имеющим операционное значение.
Проблема мощностей, а не кризис
Тем не менее, растущий объем создает реальные проблемы для защитников.
FIRST оценивает, что примерно 5% уязвимостей несут большую часть серьезного риска. По мере роста общего числа выявление этого критического подмножества становится сложнее.
«При всем этом дополнительном объеме, поиск этих 5% может быть немного сложнее, как поиск иголки в стоге сена», — говорит Леверетт из FIRST. «Речь идет о поиске сигнала в шуме».
Для CISO это означает, что стратегии исправления ошибок теперь больше связаны с масштабированием процессов принятия решений, которые уже находились под напряжением. «Если вы говорите мне, что машина должна обрабатывать 100 000 вещей вместо 50 000, это не имеет большого значения, — говорит Ройтман. — Если вы говорите мне, что это должен делать человек, я бы запаниковал».
Он добавляет, что команды безопасности уже давно работают не в человеческом масштабе. Теперь же разница в том, что уровень шума растет достаточно быстро, чтобы выявить слабые места в приоритизации, инструментарии и автоматизации.
ИИ ускоряет обнаружение — пока не массовую эксплуатацию
Большая часть беспокойства, связанного с прогнозом FIRST, сосредоточена на искусственном интеллекте, особенно на больших языковых моделях, которые могут аудировать код в масштабе. Хотя инструменты с поддержкой ИИ уже ускоряют темпы обнаружения уязвимостей, эксперты предостерегают, что обнаружение и эксплуатация остаются очень разными проблемами.
Ройтман утверждает, что, хотя ИИ облегчил перечисление недостатков, злоумышленники по-прежнему сталкиваются с экономическими и операционными ограничениями. «Если бы это было так просто, они бы уже использовали 50 000, которые мы видели в прошлом году, — говорит он. — Вместо этого эксплуатация остается сосредоточенной на относительно небольшом наборе уязвимостей, которые доказаны, масштабируемы и ценны».
В то же время защитники используют те же методы для управления потоком. Модели машинного обучения, обученные на данных об эксплуатации, все чаще помогают командам безопасности определять, какие уязвимости, вероятно, будут иметь значение — и какие можно безопасно понизить в приоритете.
«Те же инструменты, которые обеспечивают обнаружение в масштабе, также позволяют защитникам отфильтровывать сигнал от шума в масштабе», — добавляет Ройтман.
Что следует делать CISO для управления потоком CVE?
При отсутствии возможности решить проблему путем найма, большинству организаций придется полагаться на более прагматичные меры, такие как:
- Усилить приоритизацию. Вероятность эксплуатации, контекст актива и влияние на бизнес гораздо важнее сырых (CVSS — Common Vulnerability Scoring System) оценок.
- Агрессивно автоматизировать триаж. Человеческий обзор должен быть зарезервирован для небольшого подмножества уязвимостей с высокой степенью уверенности.
- Планировать диапазоны, а не точечные оценки. Доверительные интервалы FIRST предназначены для поддержки планирования мощностей, а не для прогнозирования.
- Ожидать больше шума, а не больше атакующих. Раскрытие информации ускоряется быстрее, чем эксплуатация.
«Нет причин паниковать, — говорит Ройтман. — Но есть необходимость быть стратегическими».
Нагрузка на экосистему уязвимостей
Прогноз также поднимает вопросы об устойчивости более широкой экосистемы уязвимостей, включая MITRE, которая производит CVE по контракту с Агентством по обеспечению кибербезопасности и безопасности инфраструктуры (CISA), Национальную базу данных уязвимостей, управляемую Национальным институтом стандартов и технологий, и органы, присваивающие номера CVE (CNA) — организации, уполномоченные присваивать CVE — которые уже сталкиваются с отставанием в работе.
Саша Романоски, старший научный сотрудник RAND, говорит CSO, что система, скорее всего, будет постепенно деградировать, а не рухнет под тяжестью спирально растущего числа CVE.
«Я не думаю, что это приведет к поломке чего-либо, — говорит Романоски. — Просто это не будет обрабатываться. Много уязвимостей будут игнорироваться».
Эта динамика может переложить больше ответственности на поставщиков программного обеспечения и CNA, многие из которых уже сталкиваются с ограничениями своих мощностей. Распределение большей части работы по обогащению и приоритизации вниз по цепочке может помочь в краткосрочной перспективе — но только если автоматизация будет улучшаться параллельно.
«Система не хрупкая, — говорит Романоски. — Она ограничена».
На практике это может означать растущие очереди, неравномерное качество данных и большую зависимость от инструментов частного сектора для компенсации задержек в общедоступных базах данных. Результатом является не обязательно более высокий риск, а большая фрагментация, особенно для организаций с незрелыми программами управления уязвимостями.
Индустрия кибербезопасности сталкивается не столько со взрывом эксплуатируемых уязвимостей, сколько со взрывом информации. Для CISO успех в 2026 году будет зависеть не столько от более быстрой реакции, сколько от принятия лучших решений — использования автоматизации и контекста для обеспечения того, чтобы растущее число уязвимостей не приводило к росту риска.
«Это уже давно не проблема человеческого масштаба, — говорит Ройтман. — Предстоящая задача — убедиться, что она не станет неуправляемой».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
