Индустрия кибербезопасности столкнулась с системным кризисом восприятия. Годами организации полагались на Общую систему оценки уязвимостей (CVSS), чтобы расставлять приоритеты в исправлении ошибок. Однако недавние громкие взломы — и прежде всего операция «Lunar Peek» — выявили фатальный изъян: CVSS оценивает уязвимости изолированно, в то время как злоумышленники используют их в цепочках.
Когда команды безопасности рассматривают каждую уязвимость как отдельный объект, они создают слепые зоны, которыми всё искуснее пользуются хакерские группировки, спонсируемые государствами.
Кейс Palo Alto: провал логики
Во время операции «Lunar Peek» в ноябре 2024 года злоумышленники получили root-доступ к более чем 13 000 интерфейсов управления Palo Alto Networks. Этот масштабный взлом стал возможен благодаря «связке» двух конкретных уязвимостей:
- CVE-2024-0012: Обход аутентификации (высокий балл — 9.3).
- CVE-2024-9474: Уязвимость повышения привилегий (более низкий балл — 6.9).
Поскольку вторая уязвимость имела относительно низкий балл, она не попала в порог обязательного исправления во многих корпоративных стандартах. Более того, поскольку для эксплуатации ошибки повышения привилегий технически требовался «доступ администратора», её сочли низкоприоритетной. Роковой ошибкой стало непонимание того, что первая уязвимость как раз и предоставляла тот самый административный доступ, который был необходим для второй.
Как отмечает Адам Майерс, старший вице-президент по операциям противодействия противникам в CrowdStrike, логика сортировки угроз часто страдает от своего рода «амнезии», рассматривая взаимосвязанные угрозы как разрозненные события.
5 критических слепых зон в современном управлении уязвимостями
Разрыв между теоретической серьезностью (CVSS) и реальным риском увеличивается из-за пяти развивающихся классов угроз:
1. Цепочки уязвимостей (Vulnerability Chaining)
Как показал пример Palo Alto, атакующие не бьют по одной ошибке за раз. Они комбинируют баг со «средним» риском с багом «высокого» риска, чтобы вызвать «критическую» катастрофу. Если ваш процесс приоритизации учитывает только отдельные баллы, вы неизменно будете пропускать кумулятивный эффект.
2. Гонка вооружений
Окно для защиты сужается. Данные из CrowdReport 2026 от CrowdStrike показывают, что хакеры, связанные с Китаем, могут превратить только что обнаруженные уязвимости в оружие в течение от двух до шести дней. При том, что среднее «время прорыва» (breakout time) атакующего составляет всего 29 минут, традиционная модель «Patch Tuesday» (вторник обновлений) безнадежно устарела.
3. Риск «складов» уязвимостей
Государственные хакерские группировки часто годами удерживают известные уязвимости (CVE), ожидая подходящего момента для удара. В случае с атаками «Salt Typhoon» устройства Cisco были скомпрометированы с помощью уязвимостей, которые были исправлены более года назад. CVSS не учитывает «возраст» экспозиции : это означает, что уязвимость, которая не устранялась 14 месяцев, рассматривается с той же срочностью, что и обнаруженная вчера.
4. Пробел в управлении идентификацией
Не все уязвимости связаны с кодом. Звонок социальной инженерии в службу поддержки может обойти многомиллионные системы защиты ПО без единого выпуска CVE. Кроме того, по мере того как системы агентного ИИ начинают работать с собственными API-токенами и правами доступа, они создают новую «поверхность идентификации», которую традиционные сканеры программного обеспечения просто не видят.
5. Взрывной рост обнаружений с помощью ИИ
Объем уязвимостей достигает критической точки. Количество раскрытий CVE растет более чем на 20% ежегодно, а модели ИИ (такие как Claude от Anthropic) способны находить баги в огромных масштабах и с низкой стоимостью. Индустрия готовится к «цунами уязвимостей». Если ИИ приведет к десятикратному росту скорости обнаружения, нынешняя инфраструктура управления патчами просто рухнет.
Стратегический план действий для руководителей безопасности
Чтобы перейти от реактивного исправления ошибок к проактивной защите, организации должны изменить свои модели управления:
- Аудит цепочек: Не ограничивайтесь отдельными CVE. Проводите «аудит зависимостей цепочек» для всех известных эксплуатируемых уязвимостей (KEV). Если в одной системе существуют обход аутентификации и повышение привилегий, они должны рассматриваться как единый критический приоритет.
- Ускорение SLA: Для систем, имеющих выход в интернет, переходите к 72-часовому окну установки патчей для KEV. Еженедельных циклов уже недостаточно, чтобы противостоять современным скоростям взлома.
- Отслеживание «возраста уязвимости»: Предоставляйте руководству отчеты, показывающие не только то, что не исправлено, но и как долго это остается без исправлений. Длительная незащищенность — основная мишень для профессиональных хакеров.
- Объединение управления идентификацией и ПО: Интегрируйте протоколы аутентификации службы поддержки и управление учетными данными ИИ в ваш стандартный процесс отчетности об уязвимостях.
Заключение: Полагаться исключительно на баллы CVSS — значит создавать ложное чувство безопасности. Настоящая устойчивость требует перехода от «оценки багов» к «анализу путей атаки», учитывая скорость, масштаб и взаимосвязанность современных методов эксплуатации.
