В мире кибербезопасности царит ажиотаж по поводу инструментов на базе ИИ, которые находят уязвимости быстрее, чем когда-либо. Даже нетехнические издания освещали такие темы, как признание бота Mythos от Anthropic, по сути, супероружием. Мы также обсуждали одно из многочисленных предупреждений о том, что отраслевое 90-дневное окно раскрытия информации об уязвимостях уходит в прошлое. Слова красивы, но программисты и политики не оперируют поэзией, поэтому для этой темы подходящим инструментом являются цифры. Zero-Day Clock (ZDC) использует их, чтобы наглядно продемонстрировать последствия ослабления безопасности на протяжении эпох.
Веб-сайт был создан Сергеем Эппом из Sysdig, и в этом начинании участвуют почти все крупные технологические компании и компании, занимающиеся кибербезопасностью, в качестве подписантов. Суть проста: так называемая сингулярность ИИ привела к тому, что среднее время между обнаружением уязвимости и ее эксплуатацией сократилось с почти года в 2021 году до чуть более чем суток в 2026 году (и продолжает сокращаться). Тенденция, основанная на данных, болезненно очевидна, и ZDC прогнозирует, что в 2027 году этот показатель в конечном итоге упадет до одного часа и одной минуты.
Впрочем, это далеко не единственный график, вызывающий тревогу. Процент уязвимостей нулевого дня, то есть тех, которые злоумышленники уже использовали до официального уведомления, вырос с 31% пять лет назад до колоссальных 73,2% на сегодняшний день. Здесь отчетливо видно, что процент неиспользованных уязвимостей снизился с ~60-70% в 2021 году до жалких 25% на данный момент… но только на момент раскрытия. Отслеживание по оси X показывает, что в настоящее время очень немногие уязвимости остаются неэксплуатируемыми дольше пары недель, и ноль остаются неиспользованными после шестинедельной отметки, в отличие от ~24% в прошлом году.
Кроме того, стоит отметить, что набор данных, используемый для этих графиков, довольно широк. Он отслеживает только публично раскрытые уязвимости, для которых известно об эксплуатации. Иными словами, мы можем видеть лишь верхушку айсберга, и исследователи ZDC напоминают читателям, что «мы отслеживаем только публично видимые эксплойты. Частные или государственные эксплойты могут существовать и раньше». Хронология краха компьютерной безопасности подробно описана на специальной странице ZDC.
Что же можно сделать? Исследователи ZDC опубликовали призыв к действию. Во-первых, те, которые довольно легко принять: обеспечить, чтобы каждая часть прошивки, программного обеспечения, фреймворка и аппаратной платформы имела все функции безопасности включенными по умолчанию, и всегда применять архитектуру нулевого доверия, когда это возможно. Поскольку 70% уязвимостей являются следствием ошибок безопасности памяти, использование Rust или другого языка с безопасной работой с памятью вместо C или C++ является обязательным.
ZDC также рекомендует проектировать системы так, чтобы они были по умолчанию заменяемыми, то есть, например, чтобы скомпрометированную машину можно было легко восстановить. Поскольку боты ИИ расширяют возможности атакующих, ZDC рекомендует наличие бесплатных инструментов с открытым исходным кодом на базе ИИ (например, открытый Mythos), чтобы защитники имели полное представление о своей системе, исходном коде и логах.
Затем мы переходим к сложным моментам. Самая большая рекомендация — сделать разработчиков программного обеспечения ответственными за вредоносные уязвимости безопасности, как объясняет известный мастер кибербезопасности Брюс Шнайер: «Ни одна отрасль за последние 150 лет не улучшила безопасность, если ее не заставило правительство». Он также отмечает, что небезопасный, технически несостоятельный продукт, который первым выходит на рынок и/или проще в использовании, всегда будет выигрывать у своих более качественно разработанных конкурентов.
Кроме того, звучит призыв пересмотреть законы об ИИ, которые дают атакующим временное преимущество, например, благие, но плохо продуманные инициативы, такие как EU «Stop the Clock». Они призваны замедлить распространение ИИ, но в итоге наносят ущерб безопасности, поскольку замедляют действия защищающихся сторон, в то время как кибератакующие не склонны следовать законам и правилам и просто ускорят свои усилия.
ZDC также считает, что безопасность программного обеспечения должна иметь геополитический приоритет и должна стать общественной заботой с соответствующим выделением средств на эти усилия. Наконец, ZDC призывает привлекать исследователей кибербезопасности к процессу законотворчества, поскольку, как правило, люди, пишущие законы, не до конца понимают предметы, для которых они пишут (или отменяют) постановления; это постоянная черта человеческой истории.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira
