Краят на „нулевата уязвимост“ като реалистична цел
С нарастващото влияние на ИИ върху киберсигурността, индустрията започва да приема неудобна истина – перфектно защитени системи не съществуват. Вместо това фокусът постепенно се измества към управление на риска.
Повод за този дебат е новият модел Claude Mythos на Anthropic, който според данни може да открива уязвимости значително по-бързо, отколкото организациите могат да ги отстраняват.
Когато ИИ открива повече, отколкото можем да поправим
Модели като Claude Mythos променят динамиката:
- откриването на уязвимости става евтино и масово
- валидирането и отстраняването остават скъпи и бавни
- създава се „шум“ от нископриоритетни проблеми
Според експерти, това поставя ключов въпрос – трябва ли всяка уязвимост да бъде поправена?
Данните говорят ясно
Според анализи, към 2026 г.:
- около 310 000 CVE записа съществуват глобално
- едва ~5 000 са използвани реално в атаки
- това е под 2% експлоатация
Този дисбаланс показва, че огромна част от уязвимостите имат теоретичен, а не практически риск.
Критика към „AI срещу AI“ стратегията
Популярният наратив „бори се с ИИ чрез ИИ“ започва да се поставя под въпрос. Причината:
- ИИ често открива дефекти с ниско въздействие
- много от тях водят до сривове, но не и до компрометиране
- ресурсите за реакция са ограничени
Известният изследовател Маркус Хътчинс отбелязва, че част от откритите уязвимости са по-скоро нестабилности, отколкото реални входни точки за атаки.
Уроци от индустриалните системи (OT)
В света на индустриалния контрол подходът отдавна е различен. Вместо да се поправя всичко:
- уязвимостите се класифицират по влияние върху операциите
- системите се изолират, вместо да се променят
- рискът се управлява, а не елиминира
Forescout Vedere Labs подчертава, че в много случаи системи с известни слабости продължават да работят безопасно чрез контрол и мониторинг.
Новият модел: приоритизация вместо масово patch-ване
Дори National Institute of Standards and Technology вече преминава към risk-based модел, ограничавайки анализа само до най-важните уязвимости.
Това отразява новата реалност:
- твърде много CVE записи
- намаляващо качество на част от докладите
- нарастващ натиск върху ресурсите
Кога „лечението“ струва повече от проблема
Експерти от индустрията предупреждават, че:
- откриването на бъгове става евтино
- но анализът и поправката им остават скъпи
Това води до ситуации, при които:
- поправянето на дадена уязвимост не е икономически оправдано
- рискът е минимален или теоретичен
- бизнесът страда от прекомерни разходи за сигурност
Не всички са съгласни
Някои специалисти отхвърлят аналогията с хронични заболявания. Дейвид Е. Уилямс аргументира, че:
- заплахите в киберсигурността са активни и адаптивни
- те не са „статични“ като медицински състояния
Той предлага по-точна аналогия:
- управление на наводнения или въздушен трафик
- не се поправя всичко, но се знае кое е критично
Ключовият извод
Киберсигурността навлиза в нов етап, в който:
- перфектната защита е илюзия
- приоритизацията е задължителна
- контекстът е по-важен от количеството уязвимости
ИИ не просто увеличава броя на откритите проблеми – той принуждава индустрията да признае, че не всички проблеми имат значение.
В свят, където Claude Mythos и подобни технологии могат да откриват уязвимости в безпрецедентен мащаб, успехът няма да принадлежи на тези, които намират най-много бъгове.
Ще принадлежи на тези, които знаят кои да игнорират безопасно.
