58% организаций не могут определить уязвимости, которые реально используют злоумышленники

Эксперты компании «Информзащита» выявили, что около 58% организаций не могут уверенно установить, какие уязвимости с наибольшей вероятностью будут использованы в реальных атаках — на практике это означает, что список из тысяч CVE не превращается в список из 5-10 реально опасных точек входа. Лишь 34% компаний автоматически проверяют, можно ли применить известные эксплойты к их конкретным активам — например, сопоставляют результаты сканирования с доступностью сервиса из интернета и наличием защитных контролей.

В среднем организации используют 14 источников данных о киберугрозах, включая сведения об уязвимостях, активности злоумышленников и новых техниках атак. Без привязки к инфраструктуре эти источники превращаются в шум: аналитик видит десятки новых CVE в день, но не понимает, относятся ли они к его внешнему периметру или к изолированному тестовому стенду. По оценке экспертов, в 2026 году ИБ-команды тратят в среднем 42% рабочего времени на анализ рисков, которые впоследствии оказываются низкоприоритетными или неэксплуатируемыми в конкретной среде.

Вход в инфраструктуру всё чаще происходит не через один доминирующий вектор, а через комбинацию уязвимостей, учетных данных и социальной инженерии, что ломает привычные модели приоритизации. На эксплуатацию уязвимостей приходится около 31% успешных сценариев получения доступа, на фишинг — 16%, на использование скомпрометированных учетных данных — 13%, еще около 6% связаны с претекстингом и другими методами социальной инженерии. В инфраструктуре крупной организации одновременно могут присутствовать тысячи известных уязвимостей, десятки и даже сотни из которых имеют высокий уровень критичности. При этом злоумышленнику достаточно одной проблемы в VPN-шлюзе, веб-приложении, системе удаленного доступа или другом доступном извне компоненте. Наличие рабочего эксплойта и понятной цепочки дальнейшего перемещения по инфраструктуре часто делает такую уязвимость значительно опаснее технически более критичной проблемы во внутреннем сегменте.

Эксперты связывают рост проблемы с тем, что во многих организациях приоритизация по-прежнему строится преимущественно вокруг формальной оценки критичности. Высокий балл уязвимости автоматически поднимает ее в очереди на устранение, хотя реальная вероятность эксплуатации зависит от расположения актива, его доступности из интернета, конфигурации продукта, наличия публичного эксплойта, интереса атакующих и действующих компенсирующих мер.

Чем больше парк систем и интеграций, тем выше шанс, что критичная уязвимость потеряется среди нерелевантных находок — особенно в компаниях с десятками внешних сервисов и устаревшими сегментами. В розничной торговле эксплуатация уязвимостей может быть связана примерно с 42% случаев первоначального проникновения, в государственном секторе — с 40%, в промышленности — с 38%, в здравоохранении — с 20%. В ритейле риск повышают многочисленные веб-сервисы, распределенная инфраструктура и большое количество внешних интеграций. Государственные организации часто эксплуатируют разнородные информационные системы с разными жизненными циклами. Для промышленных предприятий установка обновления может требовать отдельного технологического окна и предварительной проверки совместимости. В здравоохранении дополнительные ограничения связаны с необходимостью поддерживать непрерывную работу специализированных систем. В каждой из этих отраслей формальная очередность устранения уязвимостей может расходиться с тем, какие активы в конкретный момент представляют интерес для злоумышленников.

Приоритизацию стоит начинать с вопроса о том, можно ли через эту уязвимость прямо сейчас зайти в сеть и что атакующий сможет сделать дальше. Инвентаризация активов должна учитывать сетевую доступность, бизнес-критичность и место системы в потенциальной цепочке перемещения злоумышленника. Сведения об активно используемых уязвимостях необходимо автоматически сопоставлять с результатами сканирования и данными об инфраструктуре, а наиболее опасные находки проверять на реальную эксплуатируемость в контролируемой среде. Отдельные сроки устранения целесообразно устанавливать для уязвимостей в доступных из интернета компонентах и проблем, по которым уже зафиксирована активность атакующих. Интеграция систем управления уязвимостями с данными об угрозах, CMDB, SIEM и средствами контроля конечных точек позволит сократить объем ручного анализа и быстрее выделять действительно опасные сценарии. Ключевым показателем зрелости процесса при этом становится не количество закрытых уязвимостей, а скорость устранения тех проблем, которые злоумышленники способны использовать для проникновения и развития атаки.

Информзащита
Автор: Информзащита
Компания «Информзащита» основана в 1995 году и в настоящее время является ведущим российским системным интегратором в области информационной безопасности
Комментарии: