Branża cyberbezpieczeństwa stoi w obliczu systemowego kryzysu percepcyjnego. Przez lata organizacji opierała się na Wspólny system oceny narażenia na atak (CVSS), aby ustalać priorytety w korygowaniu błędów. Jednak ostatnie głośne hakowania — i przede wszystkim operacja “Lunar Peek” — ujawnił fatalny błąd: CVSS ocenia luki w izolacji, podczas gdy przestępcy wykorzystują ich w łańcuchach.
Gdy drużyny bezpieczeństwa rozważają każdą usterkę jako oddzielny obiekt, tworzą martwe pola, z których wszystkie wykwalifikowanych wykorzystują hakerskie grupy sponsorowane przez państwa.
Walizka Palo Alto: porażka logiki
Podczas operacji “Lunar Peek” w listopadzie 2024 roku włamywacze dostali root-dostęp do ponad 13 000 interfejsów zarządzania Palo Alto Networks. Ten masowy hacking stał się możliwy dzięki “połączeniu” dwóch konkretnych luk w zabezpieczeniach:
- CVE-2024-0012: Pominięciem uwierzytelniania (najwyższy wynik — 9.3).
- CVE-2024-9474: Luka zwiększenia uprawnień (niski wynik — 6.9).
Ponieważ druga luka miała stosunkowo niski wynik, ona nie trafiła w próg obowiązkowego poprawek w wielu korporacyjnych. Ponadto, ponieważ do obsługi błędów zwiększenia uprawnień technicznie potrzebny był “dostęp administratora”, uznali ją низкоприоритетной. Fatalnym błędem było brak zrozumienia, że pierwsza luka akurat oddawała ten sam dostęp administracyjny, który był niezbędny do drugiej.
Jak zauważa Adam Myers, starszy wiceprezes ds. operacji przeciwdziałania wrogom w CrowdStrike, logika sortowania zagrożeń często cierpi na swego rodzaju “amnezji”, biorąc pod uwagę związane z nimi zagrożenia jak odmienne zdarzenia.
5 krytycznych niewidomych wejść w nowoczesnym zarządzaniu luki
Różnica między teoretycznym powagą (CVSS) i realne ryzyko wzrasta z powodu pięciu rozwijających się klas zagrożeń:
1. Łańcuchy podatności (Vulnerability Chaining)
Jak pokazał przykład Palo Alto, atakujący nie biją po jednym błędzie na raz. Oni łączą błąd ze “średnim” ryzykiem z błędem “wysokiego” ryzyka, aby wywołać “krytycznego” katastrofę. Jeśli twój proces ustalania priorytetów uwzględnia tylko pojedyncze punkty, to zawsze będzie brakować skumulowany efekt.
2. Wyścig zbrojeń
Okno do ochrony zwęża się. Dane z CrowdReport 2026 od CrowdStrike pokazują, że hakerzy związane z Chinami, mogą włączyć tylko że wykryte luki w broń przez od dwóch do sześciu dni. Z tym, że średni “czas przełomu” (breakout time) atakującego wynosi zaledwie 29 minut, tradycyjny model “Patch Tuesday” (wtorek aktualizacji) beznadziejnie przestarzałe.
3. Ryzyko “magazynów” luk
Państwowe grupy hakerskie często latami utrzymują znane luki w zabezpieczeniach CVE), czekając na odpowiedni moment do uderzenia. W przypadku ataków “Salt Typhoon” urządzenia Cisco zostały naruszone z wykorzystaniem luk w zabezpieczeniach, które zostały ustalone ponad rok temu. ** CVSS nie uwzględnia “wieku” ekspozycji**: oznacza to, że luka, która nie została rozwiązana przez 14 miesięcy, jest traktowana z taką samą pilnością, jak wykryta wczoraj.
4. Spacja w zarządzaniu tożsamością
Nie wszystkie luki związane z kodem. Połączenie inżynierii społecznej do pomocy technicznej mogą obejść wielomilionowe systemu ochrony bez jednolitego produkcji CVE. Ponadto, w miarę jak system агентного AI zaczynają pracować z własnymi API-tokenami i prawami dostępu, tworzą nową “powierzchnia identyfikacji”, którą tradycyjne skanery oprogramowania po prostu nie widzą.
5. Gwałtowny wzrost wykryć za pomocą AI
Zakres luk w zabezpieczeniach osiąga punkt krytyczny. Liczba rozmieszczeń CVE rośnie o ponad 20% rocznie, a modele AI (takich jak Claude od Anthropic) są w stanie znaleźć błędy w ogromną skalę i przy niskich kosztach. Branża przygotowuje się do “tsunami luk”. Jeśli AI doprowadzi do десятикратному wzrostu prędkości wykrywania, obecna infrastruktura zarządzania plamy po prostu się zawali.
Strategiczny plan działania dla menedżerów bezpieczeństwa
Aby przejść od biernego poprawki do proaktywnej ochrony, organizacje muszą zmienić swoje modele zarządzania:
- Audyt łańcucha dostaw: Nie ogranicza się do łóżka CVE. Spędzasz “audyt zależności łańcuchów” dla wszystkich znanych eksploatowanych luk (KEV). Jeśli w jednym systemie istnieje obejście uwierzytelniania i eskalacja uprawnień, należy je traktować jako jeden priorytet krytyczny.
- Przyspieszenie SLA: Dla systemów z dostępem do internetu, przejdź do 72-godzinnej okna instalacji łatki dla KEV. Tygodniowych cykli już za mało, aby przeciwstawić się współczesnym prędkości włamania.
- Śledzenie “wieku luki”: Dostarczanie kierownictwu raportów, które pokazują nie tylko to, że nie naprawiono, ale i jak długo pozostaje bez poprawek. Przedłużająca się niepewnie — główny cel dla profesjonalnych hakerów.
- Stowarzyszenie zarządzania tożsamością i: Zintegruj protokoły uwierzytelniania usługi wsparcia i zarządzanie poświadczeniami AI w swój standardowy proces raportowania o lukach w zabezpieczeniach.
Wnioski: Polegać wyłącznie na punkty CVSS — znaczy tworzyć fałszywe poczucie bezpieczeństwa. Prawdziwa odporność wymaga przejścia od “oceny błędów” do “analizy ścieżek ataku”, biorąc pod uwagę tempo, skala i łączność z nowoczesnych metod pracy.
