Практики установки исправлений (патчинга) в последнее время подвергаются сильному давлению, поскольку окна для эксплуатации уязвимостей ускоряются — это новая реальность, которая, вероятно, усугубится по мере роста помощи ИИ в цепочках атак.
Теперь у специалистов по киберзащите есть еще один повод для беспокойства по поводу уязвимостей: согласно последнему выпуску ежегодного Отчета об анализе утечек данных (DBIR) от Verizon, эксплуатация уязвимостей значительно обогнала кражу учетных данных в качестве наиболее распространенной точки входа при нарушениях безопасности.
Исследователи Verizon обнаружили, что эксплуатируемые уязвимости стали коренной причиной нарушений в 31% случаев, в то время как злоупотребление учетными данными было причиной 13% сбоев в системе безопасности. Отдавая дань уважения трудностям управления патчами в корпоративном секторе, только одна из четырех (26%) критических уязвимостей была полностью устранена в 2025 году, при этом медианное время установки исправления увеличилось до 43 дней по сравнению с 32 днями годом ранее, согласно DBIR от Verizon.
Анализ коренных причин
Исследование Verizon основано на анализе 31 000 инцидентов безопасности, из которых 22 000 были подтвержденными утечками данных, затрагивающими жертв из 145 стран.
Эксперты по реагированию на инциденты, опрошенные CSO, подтвердили, что рост эксплуатации уязвимостей как средства проникновения в корпоративные сети реален.
«Злоумышленники следуют по пути наименьшего сопротивления в больших масштабах, и в настоящее время этот путь пролегает через необновленные периметральные и граничные устройства, где для работающего эксплойта не требуется предварительный доступ, фишинговая атака на пользователя или покупка данных об утечке», — отмечает Даниэль Беченя, менеджер по безопасности в Pentest-Tools.com, платформе для оценки наступательной безопасности и уязвимостей.
Беченя утверждает, что эксплуатация обогнала злоупотребление учетными данными, поскольку установка исправлений для известных эксплойтов не успевает за ростом числа критических уязвимостей.
Крис Высопал, соучредитель и главный евангелист по безопасности в Veracode, согласен.
«Организации по-прежнему просто не устраняют уязвимости достаточно быстро», — говорит он.
Согласно анализу Verizon, только около 26% известных эксплуатируемых уязвимостей CISA (KEV) были полностью устранены в 2025 году, по сравнению с 38% в предыдущем году. Между тем, объем критических по степени серьезности уязвимостей, которые организациям пришлось исправлять, вырос на 50% в годовом исчислении.
Джеймс Джон, менеджер по реагированию на инциденты в Bridewell, представил контрастирующую точку зрения на относительную важность эксплуатации уязвимостей и злоупотребления учетными данными на протяжении всего жизненного цикла нарушений безопасности.
«Мы по-прежнему видим, что идентификация является основным узким местом», — говорит Джон, чья фирма по кибербезопасности и реагированию на инциденты предоставила данные для отчета Verizon. «Эксплуатация, возможно, и выигрывает гонку к парадной двери, но украденные учетные данные по-прежнему являются нитью, проходящей через большинство вторжений, на которые мы реагируем; они просто используются позже в атаке, для бокового перемещения и доступа к важным данным».
В отчете Verizon также указано, что 16% случаев первоначального доступа к данным были связаны с фишингом, что соответствует уровню предыдущего года, и 6% — с претекстингом, который, по мнению исследователей, стал более распространенным в атаках с использованием программ-вымогателей и шантажа.
Джон отмечает, что последний пункт несколько запутывает вывод отчета об учетных данных.
«Часть видимого снижения [злоупотребления учетными данными] также связана с измерением, а не с реальностью, поскольку кража учетных данных и претекстинг сливаются», — говорит он CSO.
Поскольку компании все больше полагаются на внешних поставщиков, злоумышленники также нацеливаются на расширенную цепочку поставок: нарушения с участием третьих сторон теперь составляют 48% всех инцидентов безопасности, охваченных DBIR от Verizon.
DBIR от Verizon, который выходит уже 19-й год, объединяет реальные данные об инцидентах и утечках из правоохранительных органов, судебно-медицинских фирм и отраслевых групп по обмену информацией, таких как национальные CERT, а также данные работы Verizon с собственными клиентами. Выводы этого исследования, считающегося эталонным в отрасли по утечкам данных, подкрепляются недавними сопоставимыми исследованиями.
Например, в последнем отчете Cloud Threat Horizons Report от Google Cloud Security также было обнаружено, что злоумышленники переключаются на эксплуатацию необновленных уязвимостей стороннего программного обеспечения, а не полагаются в первую очередь на украденные или слабые учетные данные.
Согласно исследованию Google Cloud, уязвимости программного обеспечения стали самым большим вектором первоначального доступа (44,5% инцидентов), обогнав злоупотребление учетными данными.
ИИ уже усугубляет ландшафт угроз
Хотя последний отчет DBIR использует данные за 2025 год, предшествующие новейшим достижениям в области безопасности с использованием передовых моделей ИИ, таким как Mythos от Anthropic, более широкое использование ИИ киберпреступниками по-прежнему выявляется в подробных посмертных анализах нарушений безопасности.
«ИИ используется злоумышленниками для ускорения времени эксплуатации известных уязвимостей, сокращая окно для защиты с месяцев до нескольких часов», — предупреждает Verizon.
На прошлой неделе группа Google Threat Intelligence Group (GTIG) опубликовала доказательства существования эксплойта нулевого дня, разработанного киберпреступной группой с помощью ИИ.
Стратегии устранения последствий нарушений должны измениться
Мухаммад Яхья Патель, vCISO и консультант по кибербезопасности для региона EMEA в поставщике управляемых услуг безопасности Huntress, заявляет, что руководителям по безопасности (CISO) необходимо быстро улучшить управление уязвимостями и безопасность идентификации в свете выводов DBIR от Verizon.
«Эксплуатация уязвимостей, кража учетных данных, многоканальный социальный инжиниринг и компрометация цепочки поставок — все это развертывается одновременно в больших масштабах», — говорит Патель. «Наилучшее положение имеют те организации, которые построили многоуровневую защиту по всем этим векторам».
Патель добавляет: «Больше организаций должны перевести свои программы управления уязвимостями на риск-ориентированный, непрерывный [подход], привязанный к разведданным об эксплуатации в реальном времени, а не к запланированным циклам установки исправлений, которые оставляют окна для эксплуатации открытыми на дни и недели».
Рагу Нанандакумара, вице-президент по отраслевой стратегии в Illumio, поставщике решений для микросегментации и сдерживания утечек, утверждает, что, хотя больше уязвимостей устраняется по мере улучшения практик патчинга в корпоративном секторе, объем накопившихся уязвимостей, требующих устранения, по-прежнему растет быстрее, чем успевают справляться группы безопасности.
«Резкий рост [числа уязвимостей] был обусловлен слиянием факторов, включая большее количество открытий с помощью ИИ, возросшую зависимость от стороннего и открытого исходного кода, растущее число подключенных систем и экосистему раскрытия информации, которая теперь гораздо более активна и мотивирована, чем всего несколько лет назад», — говорит Нанандакумара.
Платежи за программы-вымогатели снижаются, но угроза остается серьезной
Программы-вымогатели фигурировали почти в половине всех нарушений (48%), охваченных DBIR, по сравнению с 44% в предыдущем году, хотя выплаты выкупа снизились (69% жертв не заплатили).
Апарна Раясам, генеральный директор фирмы по сетевой безопасности Atsign, говорит, что это изменение в ставках выкупа подталкивает программы-вымогатели к эволюции в сторону другой бизнес-модели.
«Поскольку жертвы больше не платят за ключи дешифрования, злоумышленники в значительной степени переключились на эксфильтрацию данных и шантаж», — говорит он. «Злоумышленники компенсируют меньшие индивидуальные выплаты, осуществляя больший объем более дешевых, автоматизированных атак».
Раясам добавляет: «Использование ИИ делает эту модель еще более прибыльной для операторов программ-вымогателей».
Джон из Bridewell представил контрастирующую точку зрения, утверждая, что, хотя операторы программ-вымогателей не менее успешны в атаках на предприятия, им становится труднее добиться оплаты от жертв.
«Снижение [выплат за программы-вымогатели] отражает реальный прогресс, а не потерю хватки злоумышленниками», — говорит Джон CSO. «Больше организаций протестировали резервные копии и отработали восстановление, поэтому они могут убедительно отказаться платить, и DBIR отмечает, что отказы растут даже в случаях, связанных с шифрованием, а не только с кражей данных».
Это снижение ставок выкупа означает, что злоумышленники становятся более агрессивными в своих попытках нарушить работу бизнеса, чтобы усилить на них давление с целью оплаты.
Например, британский розничный продавец Marks & Spencer понес многонедельные простои и миллионные убытки в результате атаки программы-вымогателя.
«Рычаг смещается с «у нас есть ваши данные» на «мы можем оставить вас офлайн», что гораздо важнее, когда простой влияет на основные услуги», — заключает Джон.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
