Autorius: Saeedas Abbasi, „Qualys“ grėsmių tyrimų skyriaus vyresnysis vadovas
Kadangi „Time-to-Exploit“ dabar yra neigiamas septynias dienas, o autonominiai AI agentai spartina grėsmes, duomenys nebepalaiko laipsniško tobulinimo. Gynybos architektūra turi keistis.
Ką turi žinoti lyderiai
CISA žinomų išnaudotų pažeidžiamumų per pastaruosius ketverius metus analizė rodo, kad 7-ąją dieną vis dar atviri kritiniai pažeidžiamumai pablogėjo nuo 56% iki 63%, nepaisant to, kad komandos uždarė 6,5 karto daugiau bilietų. Personalas to negali išspręsti.
Iš 52 susektų ginkluotų pažeidžiamumų mūsų tyrime 88 % buvo pataisyti lėčiau, nei buvo išnaudoti – pusė buvo ginkluota dar prieš tai, kai buvo sukurtas pataisymas.
Problema ne greitis. Tai yra pats veiklos modelis.
Kaupiamasis poveikis, o ne CVE skaičiai, yra tikroji rizikos metrika, kurią dabar turi išmatuoti saugos komandos. Nors prietaisų skydeliai apdovanoja sprintą, kad būtų įdiegti pataisymai, pažeidimai išnaudoja uodegą. DI nėra dar vienas atakos paviršius, o pereinamasis laikotarpis, kai dirbtinio intelekto užpuolikai susiduria su žmogaus gynėjais, yra pavojingiausias pramonės langas.
Atsakydami į tai, gynėjai turi įgyvendinti savo savarankiškas uždaro ciklo rizikos operacijas.
Sulaužyta fizika
Nauji Qualys grėsmių tyrimų skyriaus tyrimai, analizuojantys daugiau nei milijardą CISA KEV ištaisymo įrašų iš 10 000 organizacijų per ketverius metus, kiekybiškai įvertina tai, ką pramonė jau seniai įtarė, bet niekada neįrodė dideliu mastu. Veiklos modelis, kuriuo grindžiamas įmonės saugumas, sulaužytas.
Nuo 2022 m. pažeidžiamumo apimtys išaugo 6,5 karto. Remiantis „Google M-Trends 2026“, vidutinis laikas iki išnaudojimo sumažėjo iki neigiamo septynių dienų; Kitaip tariant, priešai ginkluoja pačius rimčiausius pažeidžiamumus, kol dar nėra pataisų. Septynias dienas vis dar atvirų kritinių pažeidžiamumų procentas išaugo nuo 56 procentų iki 63 procentų.
Tačiau tai ne dėl pastangų stokos. Organizacijos kasmet uždaro 400 mln. daugiau pažeidžiamumo įvykių nei pradžioje. Komandos dirba sunkiau, bet nėra skirtumo, kur tai svarbu. Mūsų mokslininkai tai vadina „žmogiškomis lubomis“ – struktūrine riba, kurios negali įveikti joks personalo kiekis ar proceso branda. Suvaržymas nėra pastangos. Tai pats modelis.
Iš 52 didelio atgarsio ginkluotų pažeidžiamumų, stebimų su visišku išnaudojimo terminu, 88 procentai buvo pašalinti lėčiau, nei buvo išnaudoti. Pavyzdžiui, „Spring4Shell“ buvo panaudota likus dviem dienoms iki atskleidimo, tačiau vidutinei įmonei prireikė 266 dienų ištaisyti.
Panašiai, Cisco IOS XE trūkumas buvo ginkluotas mėnesiu anksčiau; vidutinis uždarymas buvo 263 dienos.
Puolėjo pranašumas buvo matuojamas dienomis. Gynėjo atsakas buvo matuojamas sezonais. Tai nėra žvalgybos nesėkmė. Tai yra operacinės sistemos gedimas.
Norėdami suprasti ateitį, susijusį su rizikos operacijomis, dirbtiniu intelektu ir plataus masto ištaisymo valdymu, apsilankykite ROCON EMEA, rizikos operacijų centro konferencijoje.
Prisijunkite prie savo kolegų ir sužinokite daugiau apie automatinį taisymą.
Registruokitės šiandien
Mokesčių ir rizikos masės vadovas
Ataskaitoje nurodomas „rankinis mokestis“ – daugiklio efektas, kai ilgalaikis turtas, kurio žmogaus apdoroja negali pasiekti, ekspozicija trunka nuo savaičių iki mėnesių. „Spring4Shell“ vidutinis ištaisymas buvo 5,4 karto didesnis už medianą.
Mediana pasakoja valdomą istoriją. Vidurkis sako tiesą. Infrastruktūros sistemos susiduria su žiauresne realybe: Cisco IOS XE net mediana buvo 232 dienos, palyginti su galutinio taško mediana, kuri nuolat buvo mažesnė nei 14. Kai geriausias rezultatas yra aštuoni mėnesiai, rankinis mokestis nebėra daugiklis. Tai yra bazinė linija.
Žiūrėti į vidutinius skaičius nebėra naudinga priimant sprendimus. Vietoj to, pažvelgus į rizikos masę – pažeidžiamą turtą, padaugintą iš eksponuotų dienų – gaunama, kas CVE skaičiuojama neaiškiai apie kaupiamąjį poveikį. Papildoma metrika, Average Window of Exposure (AWE), matuoja visą trukmę nuo ginklavimo iki ištaisymo visoje aplinkoje.
Pavyzdžiui, Follina buvo ginkluota likus 30 dienų iki atskleidimo, o vidutinis uždarymas buvo 55 dieną.
Tačiau AWE tęsėsi iki 85 dienų. Nors akloji zona iki atskleidimo sudarė 36 procentus tų 85 dienų, o ilga lopymo uodega sudarė dar 44 procentus. Iš viso išankstinis atskleidimas ir ilga uodega kartu sudaro 80 proc. Išmatuotas sprintas sudaro mažiau nei 20.
Tuo pačiu metu iš 2025 m. atskleistų 48 172 pažeidžiamumų tik 357 buvo išnaudojami nuotoliniu būdu ir aktyviai ginkluoti. Organizacijos degina ištaisymo ciklus dėl teorinio poveikio, o spragų, kurias galima iš tikrųjų išnaudoti, išlieka.
Kodėl atotrūkis padidės
Kibernetinis saugumas jau seniai veikė kaip technologijų pokyčių išvestinė priemonė – Windows sauga po Windows, debesų sauga po debesies. Žymiausi praktikai ir investuotojai dabar teigia, kad AI pažeidžia šį modelį. Tai ne tik naujas paviršius, kurį reikia ginti; tai esminė paties priešininko transformacija.
Puolūs agentai jau gali atrasti, panaudoti ginklus ir įvykdyti greičiau, nei gali reaguoti bet kuri žmogiška operacija. Ištaisymo duomenys rodo, kad šiandien žmonės negali neatsilikti. Autonominis AI užtikrina, kad atotrūkis rytoj padidės.
Pereinamasis laikotarpis, kai dirbtinio intelekto varomi užpuolikai susiduria su žmogaus greičio gynėjais, yra pavojingiausias pramonės langas, kurį apsunkina artimiausiu metu vyraujantys struktūriniai pažeidžiamumai: atakų paviršiai išsiplėtė daugiau nei gali valdyti komandos, tapatybės išplitimas, pranokstantis politiką, ir taisymo darbų eigos, vis dar pagrįstos rankiniu vykdymu.
Tradicinis nuskaitymo ir pranešimo modelis buvo sukurtas mažesniam CVE kiekiui ir ilgesniam eksploatavimo terminui. Jį pakeičia visapusiškas rizikos operacijų centras: integruota žvalgyba, gaunama kaip mašininiu būdu nuskaitoma sprendimų logika, aktyvus patvirtinimas, patvirtinantis, ar pažeidžiamumas iš tikrųjų yra išnaudojamas konkrečioje aplinkoje, ir savarankiškas veiksmas, suspaudžiantis atsaką į grėsmės reikalaujamą laiką.
Tikslas yra ne panaikinti žmogaus vertinimą, o jį pakelti, perkeliant praktikus nuo taktinio vykdymo prie politikos, kuri vadovauja jų pačių autonominėms sistemoms, valdymą.
Organizacijos, jau laiminčios fizikos atotrūkį, nelaimi su didesnėmis komandomis. Jie laimi, nes pašalino žmogaus delsą iš kritinio kelio.
Kaip saugumo komandos gali panaikinti rizikos spragą
Nuskaitymo ir pranešimo modelis – atradimas, įvertinimas, bilietas, neautomatinis maršrutas – buvo sukurtas mažesniam kiekiui ir ilgesniam eksploatavimo terminui.
Jį pakeičia visapusiškas rizikos operacijų centras: integruota žvalgyba, gaunama kaip mašininiu būdu nuskaitoma sprendimų logika, aktyvus patvirtinimas, patvirtinantis, ar pažeidžiamumas iš tikrųjų yra išnaudojamas konkrečioje aplinkoje, ir savarankiškas veiksmas, suspaudžiantis atsaką į grėsmės reikalaujamą laiką.
Tikslas yra ne panaikinti žmogaus vertinimą, o jį pakelti – perkeliant praktikus nuo taktinio vykdymo prie politikos, kuri vadovauja autonominėms sistemoms, valdymas. Organizacijos, jau laiminčios fizikos atotrūkį, nelaimi su didesnėmis komandomis. Jie laimi, nes pašalino žmogaus delsą iš kritinio kelio.
Laikas iki išnaudojimo negrįš į teigiamus skaičius. Pažeidžiamumo apimtis nesumažės. Reaktyvusis modelis pasiekė sunkias matematines lubas.
Vienintelis likęs klausimas yra, ar organizacijos naudos architektūrą, kad ji atitiktų matematiką – kol langas tarp žmogaus masto gynybos ir autonominio nusikaltimo užsidarys visam laikui.
Susisiekite su Qualys, kad sužinotumėte, kaip įmonės valdo plataus masto taisymą automatizuodami ir AI, ir kaip galite tai padaryti dabar.
Rėmė ir parašė Qualys.
