Времето за реакция се е сринало под нулата

Ново мащабно изследване на Qualys и анализи на индустриални данни от CISA Known Exploited Vulnerabilities показват тревожна тенденция: атакуващите започват да използват уязвимости преди те изобщо да бъдат официално публикувани или коригирани.

Този феномен е описан като „negative Time-to-Exploit“, при който експлоатацията започва до 7 дни преди публичното разкриване на уязвимостта.

Основният проблем: моделът на защита е остарял

Според анализа:

• критични уязвимости остават неотстранени след 7 дни в 63% от случаите
• въпреки 6.5 пъти повече затворени тикети, рискът не намалява
• 88% от активно експлоатираните уязвимости се използват по-бързо, отколкото се пачват

Това показва, че проблемът не е в скоростта на екипите, а в самия оперативен модел на защита.

„Human ceiling“ – границата на човешките екипи

Изследването въвежда понятието „human ceiling“ – структурна граница, при която дори повече персонал и по-добри процеси не могат да компенсират скоростта на атаките.

Примерите са показателни:

• Spring4Shell е експлоатиран 2 дни преди публично разкриване
• средното време за ремедиация достига 266 дни
• Cisco IOS XE уязвимост е използвана месец преди официален пач

Това създава асиметрия, при която атакуващите действат в дни, а защитата реагира в месеци.

Новият ключов показател: „Risk Mass“

Традиционните метрики като брой CVE вече не са достатъчни. Изследователите въвеждат нова концепция:

• Risk Mass = брой уязвими активи × време на експозиция

Допълнително се използва и метрика „Average Window of Exposure (AWE)“, която измерва реалния период на риск от момента на експлоатация до отстраняването му.

Тези показатели показват, че голяма част от реалния риск идва не от самата уязвимост, а от времето, през което тя остава активна.

Защо AI променя правилата на играта

Според анализа, навлизането на автономни AI системи променя баланса между атака и защита.

Атакуващите вече могат:

• да откриват уязвимости автоматично
• да ги експлоатират без човешка намеса
• да провеждат атаки в мащаб и скорост, недостижими за традиционни екипи

Това поставя защитата в „преходна зона“, където хората реагират на скорост, която вече е машинна.

Краят на „scan-and-report“ модела

Класическият модел на киберсигурност:

• сканиране
• класифициране
• тикети
• ръчна обработка

вече не е достатъчен.

Новата концепция е Risk Operations Center (ROC), базиран на:

• машинно-четима логика за решения
• автоматизирана проверка дали уязвимостта реално е експлоитируема
• автономно прилагане на мерки за защита

Критичният извод

Изследването подчертава три фундаментални промени:

• уязвимостите се експлоатират преди да бъдат публични
• обемът на CVE расте експоненциално
• човешките процеси не могат да се мащабират достатъчно бързо

Това означава, че традиционната реактивна защита вече е достигнала математически лимит.

Организациите вече не се борят само с повече атаки, а с по-бързи и автономни атаки. В този нов модел печелят не тези с повече хора, а тези, които премахват човешкото забавяне от критичния път.